Android Smart Lock: Warum gibt es keine Möglichkeit, WLAN zu nutzen?

25

Mein Android-Gerät (Version 7.1.2) bietet mehrere Optionen zur Verwendung der Funktion "Smart Lock".

Diese Funktion verwendet einige Regeln, um den Sperrbildschirm automatisch zu deaktivieren.

Verfügbare Regeln sind:

  • Vertrauenswürdiger Ort
  • Vertrauenswürdiges Bluetooth-Gerät
  • Vertrautes Gesicht
  • Vertrauenswürdige Stimme
  • Erkennung am Körper

Ich bin überrascht, dass es keine Option gibt, ein vertrauenswürdiges WiFi-Netzwerk zu verwenden.

In einigen Foren wird das Risiko angegeben, dass das WiFi-Netzwerk gefälscht wird. Ich verstehe nicht, wie das Risiko anders ist: Ein Angreifer könnte auch ein Bluetooth-Gerät fälschen.

Was könnte Gründe dafür sein, dass eine WLAN-basierte Entsperrung nicht zulässig ist, während eine Bluetooth-basierte Entsperrung zulässig ist?

KooDooMoo
quelle
3
Ich bin der festen Überzeugung, dass diese Frage in technischer Hinsicht beantwortet werden kann, ohne dass eine Stellungnahme erforderlich ist. Ich bitte nahe Wähler, uns bitte mitzuteilen, warum Sie nicht einverstanden sind.
Firelord
4
@Firelord war nicht ich, aber "warum" Fragen neigen dazu, meinungsbasiert zu sein. Wir können uns Gründe ausdenken, warum * wir "X machen würden - aber es sei denn, es gibt eine offizielle Aussage dieser Entwickler, wir wissen es nie. Außerdem stellt sich die Frage:" Welches Problem soll hier gelöst werden? ";) // Ich sage nicht es muss geschlossen werden, nur um ein "meinungsbasiertes Licht" auf mögliche Gründe der Wähler zu werfen :)
Izzy

Antworten:

28

In einigen Foren wird das Risiko angegeben, dass das WiFi-Netzwerk gefälscht wird. Ich verstehe nicht, wie das Risiko anders ist: Ein Angreifer könnte auch ein Bluetooth-Gerät fälschen.

Das Risiko ist anders. Ein gekoppeltes Bluetooth-Gerät kann nicht gefälscht werden. Das Bluetooth-Peripheriegerät und die Telefontasten werden während des Pairing-Vorgangs ausgetauscht, sodass beide die jeweils andere Person sicher identifizieren können. Wenn die Geräte eine Verbindung herstellen, fordern sie sich gegenseitig auf, zu beweisen, dass sie über die geheimen Schlüssel verfügen. Wenn es nicht so klappen würde, wäre es trivial, wenn "Man-in-the-Middle" die Verbindung angreift, indem sie vorgibt, die Peripherie zu sein. Dann könnte der Angreifer Ihre Telefonanrufe, Musik oder was auch immer Sie über Bluetooth senden, abhören.

Die Authentifizierung funktioniert in Wi-Fi etwas anders. Sehen Sie sich diese Frage auf unserer Schwesterseite Super User an, um mehr darüber zu erfahren. In offenen Netzwerken und mit WEP, WPA oder WPA2-PSK authentifizierten Netzwerken wird das Netzwerk überhaupt nicht beim Telefon authentifiziert. Das Telefon muss nachweisen, dass es den geheimen Schlüssel (das Netzwerkkennwort) hat, aber das Netzwerk muss nichts nachweisen. In diesem Sinne gibt es keine "vertrauenswürdigen Wi-Fi-Netzwerke". Nur mit WPA2-Enterprise authentifizierte Netzwerke, die ein Zertifikatpaar verwenden, weisen dem Telefon ihre Identität nach, indem sie ein von einer Zertifizierungsstelle signiertes Zertifikat vorlegen (genau wie HTTPS-Websites). Vermutlich glaubte Google nicht, dass es sich lohnen würde, eine Option hinzuzufügen, die nur mit den am wenigsten verbreiteten Arten von Wi-Fi-Netzwerken funktioniert, und die Verwirrung, die dies bei ihren Nutzern hervorruft.

Interessanterweise ist WLAN-Spoofing bereits ein Sicherheitsproblem für die Option "Vertrauenswürdiger Ort". Das Ortungssystem verwendet sichtbare Wi-Fi-Netzwerke als eine Eingabe, um festzustellen, wo Sie sich befinden. Wie wir gesehen haben, kann dies zu großen Ungenauigkeiten führen . Wenn Sie dies absichtlich fälschen, müssen Sie sich die Netzwerke ansehen, die an Ihrem "vertrauenswürdigen Ort" sichtbar sind, und mehrere gleichzeitig fälschen. Ihr Nachbarschafts-Telefonräuber kann Ihr Telefon nicht auf diese Weise entsperren, aber Regierungsbehörden und organisierte Industriespione können dies wahrscheinlich: insbesondere, wenn sie auch einen abgeschirmten Raum zum Blockieren von GPS- und Mobiltelefonsignalen verwenden.

Dan Hulme
quelle
Sie können auch 100 US-Dollar ausgeben und eine Ananas kaufen. Jetzt können Sie alle Telefone entsperren, die dumm genug waren, eine unsichere Methode für die intelligente Sperre zu verwenden. Oder Sie wissen, aktivieren Sie einfach keine unsicheren Optionen.
Wayne Werner
@WayneWerner Ananas?
Revetahw sagt Reinstate Monica
@Revetahw wifipineapple.com
Wayne Werner
Beachten Sie, dass selbst die meisten WPA-Enterprise-Netzwerke keine Zertifikate verwenden. Alle, die ich jemals gesehen habe, machen RADIUS über so etwas wie EAP.
chrylis -on strike-
4
Leider ist diese Antwort falsch. In WPA2-PSK müssen sowohl die Station als auch der AP nachweisen, dass sie die Passphrase im Vier-Wege-Handshake kennen . AFAIR, dies sollte auch für WPA und sogar WEP gelten, aber sie haben andere Schwachstellen. Bei WPA2 ist die Sicherheit nur für interne Angreifer ( Hole 196-Angriff ) oder dann gefährdet, wenn das PSK leicht erraten, brachial erzwungen (mithilfe verschlüsselter Wi-Fi-Pakete) oder durchgesickert ist.
Dubu
5

Was Sie verlangen, wäre sicherlich möglich, sollte sich jedoch darauf beschränken, wenn ein Gerät mit ausreichender Sicherheit, dh WPA2-Authentifizierung / Verschlüsselung, mit einem Wi-Fi-Netzwerk verbunden ist. Wahrscheinlich wurde es weggelassen, weil es schwierig sein würde, einem nicht-technischen Benutzer mitzuteilen, warum er bestimmte Wi-Fi-Netzwerke zur Authentifizierung verwenden könnte, andere jedoch nicht.

Im Gegensatz zu dem, was @DanHulme in seiner Antwort schrieb, müssen bei der Verwendung der WPA2-Authentifizierung mit vorinstallierten Schlüsseln (WPA2-PSK) sowohl die Station als auch der AP nachweisen, dass sie die Passphrase im Vier-Wege-Handshake kennen . Ein betrügerischer WPA2-AP kann einem Client keinen Zugriff gewähren, indem er nur das Kennwort des Clients "akzeptiert". Andererseits könnte jeder, der das PSK kennt, einen AP fälschen (WPA2 Enterprise hat hier einen Vorteil gegenüber WPA2-PSK).

Dubu
quelle