Android Smart Lock: Чому немає можливості використовувати WiFi?

Мій пристрій Android (v. 7.1.2) пропонує кілька варіантів використання функції "Smart Lock".

Ця функція використовує деякі правила для автоматичного відключення екрана блокування.

Доступні правила:

• Довірене місце
• Надійний пристрій Bluetooth
• Довірене обличчя
• Довірений голос
• Встановлення на тілі

Я здивований, що немає можливості використовувати надійну мережу WiFi.

Деякі форуми стверджують про ризик підробляти мережу WiFi. Я не розумію, чим різний ризик: зловмисник може також сфабрикувати пристрій Bluetooth.

Що може бути причиною заборони розблокування на основі WiFi, дозволяючи розблокування на основі Bluetooth?

Деякі форуми стверджують про ризик підробляти мережу WiFi. Я не розумію, чим різний ризик: зловмисник може також сфабрикувати пристрій Bluetooth.

Ризик є іншим. Не можна підробити парний пристрій Bluetooth. Периферійні пристрої Bluetooth та клавіші обміну телефоном є частиною процесу сполучення, тому обидва вони можуть надійно ідентифікувати інший. Коли пристрої підключаються, кожен кидає виклик іншим, щоб довести, що вони мають секретні ключі. Якби це не працювало таким чином, було б тривіально "атакувати людину в середині" з'єднання, роблячи вигляд, що він є периферійним. Тоді зловмисник може підслухати ваші телефонні дзвінки чи музику, або що завгодно ви надсилаєте через Bluetooth.

Аутентифікація працює трохи інакше в Wi-Fi. Дивіться це питання на нашому сестринському сайті Super User, щоб отримати більше обговорень. У відкритих мережах та мережах, що мають автентифікацію за допомогою WEP, WPA або WPA2-PSK, мережа взагалі не автентифікується на телефоні. Телефон повинен довести, що в ньому є секретний ключ (мережевий пароль), але мережі нічого не потрібно доводити. У цьому сенсі немає "довірених мереж Wi-Fi". Тільки мережі з автентифікацією на WPA2-Enterprise, які використовують пару сертифікатів, підтверджують свою особу на телефоні, показуючи сертифікат, підписаний органом сертифікації (як і веб-сайти HTTPS). Імовірно, Google не вважав, що варто додавати варіант, який буде працювати лише з найменш поширеним типом мережі Wi-Fi, і плутанина це спричинить їх користувачів.

Цікаво, що підробка Wi-Fi вже є проблемою безпеки для параметра "довірене місце". Система локації використовує видимі мережі Wi-Fi як один вхід, щоб визначити, де ви знаходитесь, і, як ми бачили, це може спричинити величезні неточності . Підробляти це навмисно - означає переглядати мережі, які видно у вашому "довіреному місці", і підробляти декілька одразу. Ваша сусідська викрадачка не зможе розблокувати ваш телефон таким чином, але, можливо, урядові установи та організовані промислові шпигуни можуть: особливо якщо вони також використовують екрановану кімнату для блокування GPS та стільникових сигналів.

Те, що ви запитуєте, безумовно, було б можливим, але його слід обмежувати, коли пристрій підключено до мережі Wi-Fi з використанням достатньої безпеки, тобто аутентифікації / шифрування WPA2. Ймовірно, це було опущено, оскільки було б важко донести до нетехнічного користувача, чому вони можуть використовувати певні мережі Wi-Fi для аутентифікації, але не інші.

На відміну від того, що @DanHulme написав у своїй відповіді, коли використовується автентифікація WPA2 з попередньо спільними ключами (WPA2-PSK), і станція, і AP повинні довести, що вони знають парольну фразу в чотиристоронньому рукостисканні . Шахрай WPA2-AP не може надати клієнту доступ, просто "прийнявши" пароль клієнта. З іншого боку, кожен, хто знає, що PSK може підробити AP (WPA2 Enterprise тут має перевагу перед WPA2-PSK).