Smartlock mit Wlan

[PieDieÄj]

Ich muss das wieder mal schreiben, damit das Zittern aufhört:

Wie kann man als Entwickler so erbärmlich doof sein, ausgerechnet die Einbuchung in einem WLAN-Netz nicht als Kriterium zuzulassen?

 

[nik]

@PieDieÄj Vermutlich, weil die Funktion zu unsicher wäre?

 

[maik005]

@nik

Stimmt, die bisherige Umsetzung ist viel zuverlässiger und sicherer

 

[PieDieÄj]

@nik

Dann erzähl mal, worin die Unsicherheit liegen würde.

Eine der ersten Kriterien, die man bei solchen Tools wie tasker oder Llama definiert, ist wohl die Bedingung "Wenn ich im WLAN-Netz 'dahoam' bin", oder?

 

[Otandis_Isunos]

@PieDieÄj Vermutlich, weil die Funktion zu unsicher wäre?

Was ist daran unsicher wenn man das EIGENE WLAN dafür nutzt? oO Erschließt sich mir nicht ehrlich gesagt. Schließlich könnte Smart Lock doch einfach erkennen, wenn man im heimischen WLAN eingeloggt ist und dann die entsprechende Funktion deaktivieren, oder nicht?

 

[maik005]

@Otandis_Isunos
Vermutlich wenn nur die SSID benutzt würde.
Aber man kann es ja problemlos mit der MAC Adresse des Routers verbinden.

 

[nik]

@Otandis_Isunos Weil alle Informationen, die für Smartlock genutzt werden könnten, von außerhalb (sogar relativ großer Entfernung) abgreifbar sind.
Mit diesen Informationen ist es mit so ziemlich jedem Notebook möglich, einen Wlan-Hotspot einzurichten, mit dem sich dann das Smartphone verbindet (gibt dafür fertige Tools, die das automatisieren).

@maik005 auch die MAC-Adresse ist von fremden ersichtlich und lässt sich ändern.

 

[PieDieÄj]

nik, klar kann man spoofen, aber darum geht es doch gar nicht.

Es geht um die Bedingung für das entsperren eines Gerätes und nicht um einen Netzwerk-Einbruch

 

[maik005]

Es geht um die Bedingung für das entsperren eines Gerätes

und die würde mich bei SmartLock was Standortabhänig festgelegt ist, echt mal interessieren.

 

[PieDieÄj]

Du meinst, wie das gerade, also aktuell (fehlerhaft) bei Android gehandhabt wird?

 

[nik]

@PieDieÄj Wieso Netzwerkeinbruch? Mit den Informationen kommt niemand in das Netzwerk, wenn es verschlüsselt ist.
Man kann aber ohne großen Aufwand mit frei zugänglichen Informationen das Smartlock-Kriterium nachbauen.

 

[Otandis_Isunos]

@Otandis_Isunos Weil alle Informationen, die für Smartlock genutzt werden könnten, von außerhalb (sogar relativ großer Entfernung) abgreifbar sind.
Mit diesen Informationen ist es mit so ziemlich jedem Notebook möglich, einen Wlan-Hotspot einzurichten, mit dem sich dann das Smartphone verbindet (gibt dafür fertige Tools, die das automatisieren).

Wie soll denn jemand auf Informationen zugreifen von außen, auf eine Funktion, die innerhalb der Google-Dienste läuft, in meinem Google-Account, ohne Passwort, mit einer automatisch verschlüsselten Verbindung das nachbauen? DAS musst du uns bitte genauer erklären.

Die Informationen kann ich ja nicht mal ich selbst nachschauen, selbst wenn ich das wöllte.

 

[PieDieÄj]

niks Vorbehalte für den WLan-Check ist für mich auch in sofern nicht nachvollziehbar, weil bluetooth ja nicht sicherer ist.

bluetooth spoofing android - Google-Suche

 

[nik]

@Otandis_Isunos Du verstehst da wohl was falsch.

Smartlock suggeriert ja, dass es ein "schlaues Schloss" gibt. Zu jedem Schloss gibt es einen Schlüssel.
Praktisch für einen Schlüssel wäre nun, dass nicht jeder Zugriff darauf hat und diesen beliebig verwenden kann.

Als Kriterien für Smartlock stehen bei der gewünschten Funktion die MAC-Adresse und die SSID zur Verfügung.
Beide Informationen sind frei verfügbar und lassen sich ohne großen Aufwand "nachbauen". Beide Kriterien von oben treffen also auf Wlans nicht zu.

@PieDieÄj Richtig, um ein gefälschtes Bluetooth-Gerät mit einem Smartphone zu verbinden zu können, ist inzwischen um einiges mehr Aufwand notwendig.
Außerdem gibt es für Bluetoothgeräte keine Datenbanken im Internet, die Reichweite ist sehr begrenzt und man kann auch nicht vom Standort zwingend auf den Besitzer schließen.

 

[PieDieÄj]

@nik, Bluetooth ist keine herausforderung, aber trotzdem ist da ein falscher Ansatz, denke ich!

Wenn du als handelsüblicher Dieb mich nicht kennst, aber an (m)ein Handy willst, wie willst du denn die Infos bekommen,

- dass es mich gibt?
- Wer ich bin?
- Dass ich mein Handy in meinem WLan schwächer absichere
- Wie mein WLan heißt und wo es sich befindet, damit du es kopieren kannst?
- Wo ich mich gerade befinde und
- - wie du an mein Handy unbeaufsichtigt per WLan -Spoofing dran kommst?

 

[nik]

@PieDieÄj es geht nicht nur um dich, sondern darum, ob die Funktion generell sinnvoll ist.

Um das ganze mal an einem Beispiel zu verdeutlichen:
Ich finde ein Smartphone, auf dem Sperrbildschirm steht eine Festnetznummer, unter der ich mich melden soll, wenn ich das Smartphone finde.
Ich suche die Festnetznummer und finde dazu die Adresse. Dank Diensten wie wigle, schau ich kurz nach, welches Wlan an diesem Standort vorhanden ist und richte den Accesspoint ein -> Smartphone ist entsperrt.

Dazu kommen Stars, Politiker, oder sonst irgendwelchen Personen von Interesse, bei denen jeder weiß, wo sie wohnen. Da sind die Fragen von dir absolut nicht relevant.

- Wo ich mich gerade befinde und
- - wie du an mein Handy unbeaufsichtigt per WLan -Spoofing dran kommst?

Wenn du das als Kriterium nimmst, brauchst du generell keinen PIN einrichten.

 

[maik005]

Wer hat das denn hier ohne den Namen anzugeben ausgelagert?
Vor allem aber WARUM?
SmartLock von Google hat mit den WLAN Netzen nix zu tun.

 

[nik]

Das war ich. Das der Name nicht angezeigt wurde, war ein Versehen meinerseits. Entschuldigt bitte.

SmartLock von Google hat mit den WLAN Netzen nix zu tun.

Richtig, deswegen gehört es ja auch nicht in den ursprünglichen Thread.

 

[PieDieÄj]

es geht nicht nur um dich, sondern darum, ob die Funktion generell sinnvoll ist.

So ist es, es geht um generell und nicht um die Fälle, die du anführst und ich jetzt nachstehend kommentiere:

Ich finde ein Smartphone, auf dem Sperrbildschirm steht eine Festnetznummer, unter der ich mich melden soll, wenn ich das Smartphone finde.

Wenn jemand so blöd ist, dass er seine eigene Festnetz-Nummer zu Hause angibt, statt einer anderen Nummer und diese Festnetznummer auch noch die Adresse liefert, dann muss das so sein.

Dazu kommen Stars, Politiker, oder sonst irgendwelchen Personen von Interesse, bei denen jeder weiß, wo sie wohnen.

Ja! Jeder!
Und jeder weiß sofort, wessen Phone da gefunden wurde.
Und jeder ist ein böser Fritz!
Und selbstverständlich hat jeder sofort die Möglichkeit,
- dorthin zu fahren
- und einen Accespoint einzurichten, um das Handy zu entsperren!
- und etwas "Böses" damit zu tun, bevor das Ding bereits unbrauchbar gelockt ist

@nik, sorry, aber jetzt geht das mit den Haaren los, also dem herbei zerren und so, daher macht das alles keinen Sinn mehr.

Für mündige User, die wissen, was sie tun, sollte es möglich sein, das Kriterium "im WLan-Netz 'xx' eingebucht" anwählen zu können, wie das die Taskers und Llamas auch können und wer dieses WLan-Kriterium für unsicher hält, soll es halt nicht nutzen.

 

[nik]

@PieDieÄj Sicherheit fußt nicht auf der Überlegung, ob das jeder könnte, sondern darauf, ob es möglich ist und wie hoch die Wahrscheinlichkeit ist, dass das ausgenutzt werden kann und die Chance steht bei dieser Funktion eben sehr hoch.

Aber ich stimme mit dir überein, dass die Diskussion keinen Sinn mehr macht. Ich hab dir einen Grund genannt, der dagegen sprechen könnte, diese Funktion zu implementieren.