Säkerhet rörande iphone-mac BTLE auto unlock

Tråden skapades och har fått 5 svar. Det senaste inlägget skrevs .
1

Är intresserad av att veta mer om säkerheten kring att använda BTLE för att låsa upp datorn. Apple själva har en metod de anser sig vara tillräckligt tillförlitlig då de har godkänt att klockan kan låsa upp datorn.

Sedan flertalet år tillbaka finns 3:e-partslösningar (ex nearlock) för att använda telefonen för att åstadkomma detsamma. Sett ur ett rent tekniskt perspektiv, hur säkert är detta? Hittar väldigt lite info kring detta vid sökning på google.

Ex:

  • Hur säkerställs att programvaran som installerats på telefonen/datorn inte skickar vidare några uppgifter till en server? (Visst man kan väl sätta nån bevakning på obestämd tid för att kolla om den kommunicerar)

  • Är BT möjligt att sniffa om man är i närheten av enheterna?

Googla lite på ”hack bluetooth” eller motsvarande, då hittar du säkert en del info.

Jag gillar dock resonemanget att säkerhetslösningen (oavsett vilken) ska vara anpassad till vilken data och annat som kan finnas bakom den. Exempelvis så använder jag touchID, men har samtidigt inget speciellt känsligt på min telefon, samt att, varför skulle någon vilja hacka sig in i min telefon. Jag är trots allt en vanlig ”Svensson”. Den frågan är ganska relevant att fråga sig själv i sammanhanget.

Ursprungligen av rittfeldt:

Är intresserad av att veta mer om säkerheten kring att använda BTLE för att låsa upp datorn. Apple själva har en metod de anser sig vara tillräckligt tillförlitlig då de har godkänt att klockan kan låsa upp datorn.

Sedan flertalet år tillbaka finns 3:e-partslösningar (ex nearlock) för att använda telefonen för att åstadkomma detsamma. Sett ur ett rent tekniskt perspektiv, hur säkert är detta? Hittar väldigt lite info kring detta vid sökning på google.

Ex:

  • Hur säkerställs att programvaran som installerats på telefonen/datorn inte skickar vidare några uppgifter till en server? (Visst man kan väl sätta nån bevakning på obestämd tid för att kolla om den kommunicerar)

  • Är BT möjligt att sniffa om man är i närheten av enheterna?

1. I mobilen är det säkert uppgifter som skickas till en server. Tex "en användare loggade in på sin dator", eller annan statistik. Ser inget fel med det? Är väl bra att apptillverkaren har koll på hur många lyckade/misslyckade inloggningar som görs med dess programvara?
På datorn är det lätt att hålla koll på vad som kontaktar vilken server, om man nyttjar en tredjepartsbrandvägg. Jag rekommenderar LittleSnitch. Ja den kostar några kronor, men jag vet vilka program som kommunicerar, och tillåter/nekar efter behag.
2. All trådlös kommunikation är per definition möjlig att fånga upp av tredje part. Frågan är hur lösningen är konstruerad. En simpel, där enhet A skickar "lås-upp-kommando" till lås B går att hacka.
Men om enhet A och lås B har en korrekt och säker konstruktion med korrekt krypteringsprotokoll, ja då är det betydligt svårare.

Ursprungligen av barbapappa_86:

Googla lite på ”hack bluetooth” eller motsvarande, då hittar du säkert en del info.

Tack men det är för generellt. Som noterat är det uppenbarligen säkert nog för att Apple. Så därför är jag ute efter hur man kan styrka att en 3:e-partsprovider inte brister i säkerheten med bristfälliga implementationer, har dåliga intentioner, att de lagrar lösen okrypterat eller nära intill användaruppgifterna i minnet etc.

Ursprungligen av barbapappa_86:

Jag gillar dock resonemanget att säkerhetslösningen (oavsett vilken) ska vara anpassad till vilken data och annat som kan finnas bakom den. Exempelvis så använder jag touchID, men har samtidigt inget speciellt känsligt på min telefon, samt att, varför skulle någon vilja hacka sig in i min telefon. Jag är trots allt en vanlig ”Svensson”. Den frågan är ganska relevant att fråga sig själv i sammanhanget.

Jepp, men nu är jag intresserad av de tekniska aspekterna av specifikt en sådan här BTLE-lösning - annars vet jag givetvis inte om det är robust nog (oavsett information som ligger på datorn)

Ursprungligen av reboot81:

1. I mobilen är det säkert uppgifter som skickas till en server. Tex "en användare loggade in på sin dator", eller annan statistik. Ser inget fel med det? Är väl bra att apptillverkaren har koll på hur många lyckade/misslyckade inloggningar som görs med dess programvara?

Har noterat att vissa (av dessa) utvecklare noterar att ingen information skickas till deras servrar. På så vis kan användaren få en högre tilltro till att de inte missbrukar användaruppgifterna. Ganska given fördel tänker jag? Då kan man ex nyttja Little Snitch som du nämnde.

Ursprungligen av reboot81:

2. All trådlös kommunikation är per definition möjlig att fånga upp av tredje part. Frågan är hur lösningen är konstruerad. En simpel, där enhet A skickar "lås-upp-kommando" till lås B går att hacka.
Men om enhet A och lås B har en korrekt och säker konstruktion med korrekt krypteringsprotokoll, ja då är det betydligt svårare.

Precis, men hittar väldigt lite om hur detta hanteras i den typen av lösningar som tråden behandlar. Har någon lyckats penetrera de?

Jag är väldigt imponerad över säkerheten med hur Watch kan logga in på datorn (http://bgr.com/2016/06/27/macos-auto-unlock-s...), speciellt att de lagt till time-of-flight!

3:e-partslösningar till iPhone (om du inte har någon Watch) beror väl 100% hur appen är kodad? Som med lösenordshanterare, vissa har extremt bra säkerhet medan vissa inte har någon säkerhet alls.

Ursprungligen av Johannnn:

3:e-partslösningar till iPhone (om du inte har någon Watch) beror väl 100% hur appen är kodad? Som med lösenordshanterare, vissa har extremt bra säkerhet medan vissa inte har någon säkerhet alls.

Spot on. Det är min problematik

1
Bevaka tråden