Kdo nevypne na mobilu tuto nenápadnou ikonu, může příjít úplně o všechno
Zdroj obrázku: unsplash
Automatické odemykání telefonu v „bezpečných zónách
Když mi kolega ukazoval, jak si nastavil telefon tak, aby se sám odemykal doma a v práci, připadalo mi to jako geniální vychytávka. Žádné otravné zadávání PINu, žádné čekání na rozpoznání obličeje. Prostě vejdete do bytu a telefon je připravený. Jenže čím víc jsem o tom přemýšlel, tím víc mi to přestávalo dávat smysl.
Co vlastně znamená důvěryhodné místo
Funkce Smart Lock na Androidu (nebo Extend Unlock, jak se jí někdy říká) využívá kombinaci GPS, Wi-Fi sítí a mobilních věží k určení vaší polohy. Když telefon vyhodnotí, že jste na místě, které jste označili jako bezpečné, zůstane odemčený. Zní to rozumně – doma přece nepotřebujete stejnou úroveň zabezpečení jako v metru.
Problém je v tom, jak nepřesné tyto technologie ve skutečnosti jsou. GPS má přesnost 5–10 metrů, Wi-Fi positioning 20–50 metrů, v hustší zástavbě i víc. Celulární triangulace? Ta se pohybuje ve stovkách metrů. Váš telefon si tedy může myslet, že jste doma, i když stojíte před domem na ulici. Nebo v kavárně o blok dál.
Scénář, který mě přesvědčil
Představte si běžnou situaci: sedíte v kavárně nedaleko domova, telefon máte položený na stole. Odskočíte si na toaletu nebo k baru pro kávu. Díky Smart Locku je zařízení pořád odemčené – GPS signál se příliš nezměnil. Kdokoli, kdo v tu chvíli telefon vezme, má okamžitý přístup ke všemu.
A tady přichází ta nepříjemná část. S odemčeným telefonem a znalostí vašeho přístupového kódu (který mohl útočník odpozorovat přes rameno) lze během několika minut změnit heslo k Apple ID nebo Google účtu. Dvoufaktorové ověření? To přijde jako notifikace přímo na telefon, který už drží někdo jiný.
Bankovní aplikace nejsou tak bezpečné, jak si myslíme
Spousta lidí se spoléhá na to, že bankovní aplikace vyžadují otisk prstu nebo sken obličeje. Jenže tyto aplikace často pracují s takzvanými autentizačními tokeny – po prvním přihlášení udržují relaci aktivní. Pokud je telefon odemčený a relace platná, útočník může provádět transakce bez další autentizace.
Nejde o žádnou sci-fi. Je to standardní způsob, jakým mobilní aplikace fungují, aby vás neotravovaly neustálým přihlašováním. Pohodlí má prostě svou cenu.
iOS versus Android: je někdo bezpečnější?
Zajímavé je, že iOS nemá přímou funkci důvěryhodných míst pro odemykání telefonu. Apple se spoléhá na biometrii a kratší časové limity pro automatické uzamčení.
Android s aktivním Smart Lockem prostě zvyšuje pravděpodobnost, že váš telefon zůstane odemčený v situaci, kdy by neměl. To neznamená, že iOS je neprůstřelný – ale základní nastavení je konzervativnější.
Co s tím můžeme dělat
Experti v oblasti bezpečnosti už delší dobu upozorňují na to, že budoucnost by měla patřit kontinuálnímu ověřování – telefon by průběžně kontroloval, zda ho drží skutečně jeho majitel, třeba na základě způsobu psaní nebo chůze. Další možností je ultraširokopásmové (UWB) ověřování s fyzickým tokenem, které by znemožnilo podvržení polohy.
Dokud ale tyto technologie nejsou běžně dostupné, zbývá jediné rozumné řešení: Smart Lock vypnout. Ano, je to méně pohodlné. Ale těch pár sekund navíc při odemykání telefonu stojí za klid, že vaše digitální identita nezávisí na tom, jestli GPS zrovna správně odhadla, kde se nacházíte.
Telefon se postupně stává naším digitálním občanským průkazem, peněženkou i klíčem k domovu. Čím víc toho svěřujeme jedinému zařízení, tím víc bychom měli přemýšlet o tom, za jakých podmínek k němu má někdo přístup. A „protože jsem poblíž domova
Možná je čas přestat důvěřovat místům a začít důvěřovat jen sami sobě.
