谷歌/Android的智能锁功能有多安全？

Question

较新的安卓手机(从Android 5开始，名为“Lollipop”)具有智能锁功能，它允许人们使用可信设备(蓝牙或NFC)解锁手机，而不是输入常规的PIN、模式或密码。

我特别问的是NFC。当一个特定的NFC标签被激活时，智能锁在配置为解锁手机时有多安全？我担心有人会简单地创建一个与我的ID相同的NFC标记(因为NFC只是通过触摸来激活，所以很难保护NFC标记在任何时候都不被读取)。请注意，我并不是在询问NFC标签被盗的情况--显然，在这种情况下，我的手机将不再安全。我想知道的是技术实现有多安全，也就是说，智能锁如何确保它真的是我的NFC标记，并防止被伪装成NFC标记的东西愚弄。

在我的例子中，“NFC标签”是我的YubiKey NEO。他们的常见问题页面发表了一些令人担忧的声明：

YubiKey近地天体可以用作安卓Lollipop的智能锁设备吗？是的，YubiKey NEO可以用作在Android设备上注册智能锁的NFC标记。有关更多信息，请参见Android支持页面。注意:Android的SmartLock特性使用静态7字节ID，这不符合Yubico的安全阈值标准。我们建议用户将此功能视为一种方便，而不是强身份验证替代。

Answer 1

如果有人触摸和读取您的NFC标签，意图克隆它，那么他们可以这样做，并通过克隆NFC标签欺骗您的手机。手机依赖于标签的UID，但这也可以被克隆(你可以从阿里巴巴这样的地方得到UID的可变标签)。

一些专门的NFC标签&读者使用某些技巧来防止克隆，使用一些专有技术，这使它们仅限于该品牌。