I nuovi telefoni Android (a partire da Android 5, "Lollipop") hanno la funzionalità Smart Lock che consente di sblocca il telefono, tra l'altro, con un dispositivo affidabile (Bluetooth o NFC) anziché inserire il solito PIN, modello o password.
Sto chiedendo informazioni su NFC in particolare. Quanto è sicuro Smart Lock quando è configurato per sbloccare il telefono quando viene attivato un tag NFC specifico? Sono preoccupato che qualcuno possa semplicemente creare un tag NFC con lo stesso ID del mio (poiché l'NFC si attiva semplicemente toccando qualcosa, è molto difficile proteggere un tag NFC dalla lettura in ogni momento). Si noti che non sto chiedendo del caso in cui il mio tag NFC è stato rubato - ovviamente, il mio telefono non sarebbe più sicuro in quel caso. Quello che mi piacerebbe sapere è quanto sia sicura l'implementazione tecnica, io. e. come può Smart Lock essere sicuro che sia veramente il mio tag NFC ed evitare di essere ingannato da qualcosa che finge di essere il mio tag NFC.
Nel mio caso, il "tag NFC" è il mio YubiKey NEO. La loro pagina delle domande frequenti presenta alcune affermazioni preoccupanti:
Can the YubiKey NEO be used as a Smart Lock device for Android Lollipop?
Yes, the YubiKey NEO can be used as an NFC tag registered for Smart Lock on Android Lollipop devices. For more information, see the Android support page.
Note: Android’s SmartLock features uses a static 7 byte ID, which does not conform to Yubico’s security threshold standards. We recommend users consider this feature a convenience and not a strong authentication replacement.