Android Smart Lock: Dlaczego nie ma opcji korzystania z Wi-Fi?

25

Moje urządzenie z Androidem (wer. 7.1.2) oferuje kilka opcji korzystania z funkcji „Smart Lock”.

Ta funkcja korzysta z niektórych reguł, aby automatycznie wyłączyć ekran blokady.

Dostępne zasady to:

  • Zaufane miejsce
  • Zaufane urządzenie Bluetooth
  • Zaufana twarz
  • Zaufany głos
  • Wykrywanie na ciele

Dziwi mnie, że nie ma opcji korzystania z zaufanej sieci WiFi.

Niektóre fora stwierdzają ryzyko sfałszowania sieci Wi-Fi. Nie rozumiem, na czym polega ryzyko: osoba atakująca może również sfałszować urządzenie Bluetooth.

Jakie mogą być powody, dla których nie można odblokować połączenia Wi-Fi, a odblokować połączenia Bluetooth?

KooDooMoo
źródło
3
Szczerze wierzę, że na to pytanie można odpowiedzieć w sposób techniczny, bez potrzeby przedstawiania opinii. Proszę bliskich wyborców o poinformowanie nas, dlaczego się nie zgadzasz?
Firelord
4
@Firelord nie był mną, ale pytania „dlaczego” są zazwyczaj oparte na opiniach. Możemy wymyślić powody, dla których * zrobilibyśmy X - ale nigdy nie wiemy oficjalnego oświadczenia tych deweloperów. Co więcej, pojawia się pytanie: „Jaki problem należy tutaj rozwiązać?”;) // Nie mówię trzeba go zamknąć, próbując rzucić nieco „światła opartego na opiniach” na możliwe powody głosowania :)
Izzy

Odpowiedzi:

28

Niektóre fora stwierdzają ryzyko sfałszowania sieci Wi-Fi. Nie rozumiem, na czym polega ryzyko: osoba atakująca może również sfałszować urządzenie Bluetooth.

Ryzyko jest inne. Nie można sfałszować sparowanego urządzenia Bluetooth. Klucze urządzeń peryferyjnych Bluetooth i klucze do wymiany telefonu są częścią procesu parowania, aby oba mogły bezpiecznie zidentyfikować drugi. Kiedy urządzenia się łączą, każde z nich rzuca wyzwanie drugiemu, by udowodnić, że ma tajne klucze. Gdyby to nie zadziałało, trywialne byłoby atakowanie „człowieka w środku”, udając, że jest to urządzenie peryferyjne. Następnie atakujący mógłby podsłuchać twoje rozmowy telefoniczne lub muzykę lub cokolwiek to jest, co wysyłasz przez Bluetooth.

Uwierzytelnianie działa nieco inaczej w Wi-Fi. Zobacz to pytanie na naszej siostrzanej stronie Super User, aby uzyskać więcej dyskusji na ten temat. W sieciach otwartych i sieciach uwierzytelnionych przy użyciu WEP, WPA lub WPA2-PSK sieć w ogóle nie uwierzytelnia się na telefonie. Telefon musi udowodnić, że ma tajny klucz (hasło sieciowe), ale sieć nie musi niczego udowadniać. W tym sensie nie ma „zaufanych sieci Wi-Fi”. Tylko sieci uwierzytelnione za pomocą WPA2-Enterprise, które używają pary certyfikatów, potwierdzają swoją tożsamość w telefonie, pokazując certyfikat podpisany przez urząd certyfikacji (podobnie jak strony internetowe HTTPS). Przypuszczalnie Google nie uważało, że warto dodać opcję, która będzie działać tylko z najmniej popularnym typem sieci Wi-Fi, i zamieszaniem, jakie wywołałoby ich użytkowników.

Co ciekawe, fałszowanie Wi-Fi stanowi już problem bezpieczeństwa dla opcji „zaufanego miejsca”. System lokalizacji wykorzystuje widoczne sieci Wi-Fi jako jedno wejście do określenia, gdzie jesteś, i jak widzieliśmy, może to powodować ogromne niedokładności . Sfałszowanie tego celowo oznacza obejrzenie sieci widocznych w „zaufanym miejscu” i sfałszowanie kilku naraz. Porywacz telefonu z sąsiedztwa nie będzie w stanie odblokować telefonu w ten sposób, ale agencje rządowe i zorganizowani szpiedzy przemysłowi prawdopodobnie mogą: zwłaszcza jeśli używają ekranowanego pomieszczenia do blokowania sygnałów GPS i komórkowych.

Dan Hulme
źródło
Możesz również wydać 100 USD i zdobyć ananasa, a teraz możesz odblokować telefon każdego człowieka, który był na tyle głupi, aby użyć niepewnej metody inteligentnej blokady. Lub wiesz, po prostu nie włączaj niepewnych opcji.
Wayne Werner
@WayneWerner Pineapple?
Revetahw mówi: Przywróć Monikę
@Revetahw wifipineapple.com
Wayne Werner
Pamiętaj, że nawet większość sieci WPA-Enterprise nie używa certyfikatów. Wszystkie te, które kiedykolwiek widziałem, robią RADIUS w stosunku do czegoś takiego jak EAP.
Chrylis -on strike-
4
Niestety ta odpowiedź jest błędna. W WPA2-PSK zarówno stacja , jak i AP muszą udowodnić, że znają hasło w czterokierunkowym uścisku dłoni . AFAIR, powinno to również dotyczyć WPA, a nawet WEP, ale mają one inne podatności. W przypadku WPA2 bezpieczeństwo jest zagrożone tylko dla wewnętrznych atakujących ( atak Hole 196 ) lub gdy PSK można łatwo odgadnąć, brutalnie wymusić (przy użyciu zaszyfrowanych pakietów Wi-Fi) lub wyciek.
Dubu,
5

To, o co pytasz, byłoby z pewnością możliwe, ale powinno być ograniczone do sytuacji, gdy urządzenie jest podłączone do sieci Wi-Fi przy użyciu wystarczających zabezpieczeń, tj. Uwierzytelniania / szyfrowania WPA2. Prawdopodobnie zostało to pominięte, ponieważ trudno byłoby komunikować się nietechnicznemu użytkownikowi, dlaczego mogliby używać niektórych sieci Wi-Fi do uwierzytelniania, ale nie innych.

W przeciwieństwie do tego, co napisał @DanHulme w swojej odpowiedzi, podczas korzystania z uwierzytelniania WPA2 z kluczami współdzielonymi (WPA2-PSK) zarówno stacja , jak i AP muszą udowodnić, że znają hasło w czterokierunkowym uzgadnianiu . Fałszywe WPA2-AP nie może dać dostępu do klienta po prostu „akceptując” hasło klienta. Z drugiej strony każdy, kto zna PSK, może sfałszować AP (WPA2 Enterprise ma tutaj przewagę nad WPA2-PSK).

Dubu
źródło