Android Smart Lock: Warum gibt es keine Möglichkeit, WLAN zu nutzen?

Mein Android-Gerät (v. 7.1.2) bietet mehrere Optionen zur Nutzung der „Smart Lock“-Funktion.

Diese Funktion verwendet einige Regeln, um den Sperrbildschirm automatisch zu deaktivieren.

Verfügbare Regeln sind:

  • Vertrauenswürdiger Ort
  • Vertrauenswürdiges Bluetooth-Gerät
  • Vertrauensvolles Gesicht
  • Vertrauenswürdige Stimme
  • On-Body-Erkennung

Ich bin überrascht, dass es keine Möglichkeit gibt, ein vertrauenswürdiges WLAN-Netzwerk zu verwenden.

Einige Foren geben das Risiko an, dass das WiFi-Netzwerk gespooft wird. Ich verstehe nicht, wie das Risiko anders ist: Ein Angreifer könnte auch ein Bluetooth-Gerät fälschen.

Was könnten Gründe dafür sein, eine WLAN-basierte Entsperrung nicht zuzulassen, während eine Bluetooth-basierte Entsperrung zugelassen wird?

Ich glaube ehrlich, dass diese Frage technisch beantwortet werden kann, ohne dass Meinungen eingebracht werden müssen. Ich bitte enge Wähler, uns bitte mitzuteilen, warum Sie nicht einverstanden sind?
@Firelord war nicht ich, aber "Warum" -Fragen sind in der Regel meinungsbasiert. Wir können uns Gründe einfallen lassen, warum *wir" X machen würden – aber wenn es keine offizielle Stellungnahme dieser Entwickler gibt, wissen wir es nie. Außerdem stellt sich die Frage: "Welches Problem soll hier gelöst werden?" ;) // Nicht sagen Es muss geschlossen werden, um nur ein "meinungsbasiertes Licht" auf mögliche Gründe der Wähler zu werfen :)

Antworten (2)

Einige Foren geben das Risiko an, dass das WiFi-Netzwerk gespooft wird. Ich verstehe nicht, wie das Risiko anders ist: Ein Angreifer könnte auch ein Bluetooth-Gerät fälschen.

Das Risiko ist unterschiedlich. Es ist nicht möglich, ein gekoppeltes Bluetooth-Gerät zu spoofen. Das Bluetooth-Peripheriegerät und das Telefon tauschen Schlüssel als Teil des Kopplungsvorgangs aus, sodass sich beide sicher identifizieren können. Wenn sich die Geräte verbinden, fordern sie sich gegenseitig heraus, um zu beweisen, dass sie die geheimen Schlüssel haben. Wenn es auf diese Weise nicht funktionieren würde, wäre es trivial, "Man-in-the-Middle" die Verbindung anzugreifen, indem er vorgibt, das Peripheriegerät zu sein. Dann könnte der Angreifer Ihre Telefongespräche oder Musik abhören oder was auch immer Sie über Bluetooth senden.

Die Authentifizierung funktioniert im WLAN etwas anders. Sehen Sie sich diese Frage auf unserer Schwesterseite Super User an, um weitere Diskussionen darüber zu erhalten. In offenen Netzwerken und Netzwerken, die mit WEP, WPA oder WPA2-PSK authentifiziert wurden, authentifiziert sich das Netzwerk überhaupt nicht gegenüber dem Telefon. Das Telefon muss beweisen, dass es den geheimen Schlüssel (das Netzwerkpasswort) hat, aber das Netzwerk muss nichts beweisen. Es gibt keine "vertrauenswürdigen WLAN-Netzwerke" in diesem Sinne. Nur mit WPA2-Enterprise authentifizierte Netzwerke, die ein Zertifikatspaar verwenden, beweisen ihre Identität gegenüber dem Telefon, indem sie ein von einer Zertifizierungsstelle signiertes Zertifikat vorzeigen (genau wie HTTPS-Websites). Vermutlich hielt Google es nicht für sinnvoll, eine Option hinzuzufügen, die nur mit den am wenigsten verbreiteten Arten von Wi-Fi-Netzwerken funktioniert, und die Verwirrung, die dies bei ihren Benutzern verursachen würde.

Interessanterweise ist Wi-Fi-Spoofing bereits ein Sicherheitsproblem für die Option „Vertrauenswürdiger Ort“. Das Ortungssystem verwendet sichtbare Wi-Fi-Netzwerke als eine Eingabe, um zu bestimmen, wo Sie sich befinden, und wie wir gesehen haben, kann dies zu großen Ungenauigkeiten führen . Dies absichtlich zu spoofen bedeutet, sich die Netzwerke anzusehen, die an Ihrem „vertrauenswürdigen Ort“ sichtbar sind, und mehrere auf einmal zu spoofen. Ihr Telefondieb in der Nachbarschaft wird Ihr Telefon auf diese Weise nicht entsperren können, aber Regierungsbehörden und organisierte Industriespione können dies wahrscheinlich: insbesondere, wenn sie auch einen abgeschirmten Raum verwenden, um GPS- und Mobilfunksignale zu blockieren.

Sie können auch 100 $ ausgeben und eine Ananas bekommen, und jetzt können Sie das Telefon aller entsperren, die dumm genug waren, eine unsichere Methode für die intelligente Sperre zu verwenden. Oder Sie wissen, aktivieren Sie einfach keine unsicheren Optionen.
@WayneWerner Ananas?
Beachten Sie, dass selbst die meisten WPA-Enterprise-Netzwerke keine Zertifikate verwenden. Alle, die ich je gesehen habe, machen RADIUS über etwas wie EAP.
@MikeOunsworth Danke für den Hinweis. Ich begann mit der Suche nach einer solchen Frage zur Sicherheit und bemerkte dann nicht, dass ich einem Link zu SU gefolgt war.
WPA-Enterprise mit Zertifikaten ist an britischen Universitäten weit verbreitet. Wenn Google dies einbauen würde, würden Sie wirklich wollen, dass Ihr Telefon immer und überall auf dem Campus entsperrt wird? (Oder in Ihrem Bürogebäude für diese Angelegenheit)
Leider ist diese Antwort falsch. Bei WPA2-PSK müssen sowohl die Station als auch der AP nachweisen, dass sie die Passphrase im Vier-Wege-Handshake kennen . AFAIR, dies sollte auch für WPA und sogar WEP gelten, aber sie haben andere Schwachstellen. Bei WPA2 wird die Sicherheit nur für interne Angreifer ( Hole 196-Angriff ) oder wenn der PSK leicht erraten, brutal erzwungen (unter Verwendung verschlüsselter Wi-Fi-Pakete) oder durchgesickert ist, beeinträchtigt.
@Dubu Ich bin kein großer Experte für Wi-Fi-Sicherheit, ich habe nur die akzeptierte Antwort auf diese Frage gegeben
@DanHulme Danke für den Hinweis, ich habe diese Antwort gerade auch kommentiert.
Obwohl es möglich sein könnte, müsste man den Namen der SSID kennen und ernsthafte Kenntnisse darüber haben, wie ein solcher Angriff durchgeführt wird. In der Zwischenzeit sind ein 4-stelliges Passwort oder eine dumme Mustererkennung gültige Methoden, um ein Gerät zu entsperren ...
@ChristopheVidal Der Angriff ist wirklich einfach durchzuführen, wenn Sie die SSID eines "vertrauenswürdigen" Netzwerks kennen und die meisten Netzwerke ihre SSID übertragen, sodass Sie einige wahrscheinliche SSIDs zum Entsperren des Telefons erhalten können, indem Sie einfach das Haus oder Büro des Opfers auf openwifimaps suchen .

Was Sie verlangen, wäre sicherlich möglich, sollte jedoch darauf beschränkt werden, wenn ein Gerät mit ausreichender Sicherheit, dh WPA2-Authentifizierung / -Verschlüsselung, mit einem Wi-Fi-Netzwerk verbunden ist. Wahrscheinlich wurde es ausgelassen, weil es schwierig wäre, einem technisch nicht versierten Benutzer zu vermitteln, warum er bestimmte Wi-Fi-Netzwerke zur Authentifizierung verwenden könnte, andere jedoch nicht.

Im Gegensatz zu dem, was @DanHulme in seiner Antwort geschrieben hat, müssen bei der Verwendung der WPA2-Authentifizierung mit vorinstallierten Schlüsseln (WPA2-PSK) sowohl die Station als auch der AP nachweisen, dass sie die Passphrase im Vier-Wege-Handshake kennen . Ein bösartiger WPA2-AP kann einem Client keinen Zugriff gewähren, indem er einfach das Kennwort des Clients „akzeptiert“. Andererseits könnte jeder, der die PSK kennt, einen AP vortäuschen (WPA2 Enterprise hat hier einen Vorteil gegenüber WPA2-PSK).

Android Smart Lock: Warum gibt es keine Möglichkeit, WLAN zu nutzen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v