Lenovo roept gekraakte biometrische laptops niet terug
Computerfabrikant Lenovo is niet van plan om de laptops terug te roepen waarvan de biometrische beveiliging eenvoudig is te omzeilen. Vorig jaar december demonstreerden onderzoekers van het Vietnamese Internetwork Security Center dat de gezichtsscanner die Lenovo, Asus en Toshiba gebruiken met een foto van de oorspronkelijke eigenaar is te foppen. De ingebouwde webcam van de laptops kijkt naar eigenaar en vergelijkt die met een eerder opgenomen beeld. De nieuwe manier van inloggen is eenvoudiger dan het gebruik van een vingerafdrukscanner, toch heeft het ook z'n nadelen.
Een via Skype gemaakte foto is voldoende om de laptops van de drie computergiganten te misleiden. Het belangrijkste is dat men bepaalde kenmerken van het gezicht en het contrast aanpast. Welke gezichtskenmerken een aanvaller moet aanpassen wilden de onderzoekers niet vertellen. Waarschijnlijk ligt het probleem in de gebruikte software, die het gezicht als een 2D object in plaats van een 3D object beschouwt. Dit maakt elk gezicht minder uniek dan het in werkelijkheid is.
Beter opletten
Tijdens de afgelopen Blackhat Conferentie in Washington presenteerden de onderzoekers hun paper. Daarin maken ze duidelijk dat Lenovo Veriface III de meest onveilige gezichtsscanner van de drie is, aangezien ze zonder veel moeite via een foto van de eigenaar kunnen inloggen.
Volgens een woordvoerder biedt gezichtsherkenning een alternatief voor klanten die geen wachtwoord willen onthouden. De Veriface technologie is aanwezig in Lenovo's IdeaPad notebooks en Netbooks alsmede de IdeaCenter desktops. "Zoals met alle technologieën, kunnen in het begin problemen naar voren komen die in de loop van de tijd verbeterd worden. We adviseren bezorgde klanten om maatregelen te nemen om de kans op misbruik te voorkomen, namelijk het op een veilige manier bewaren van je laptop." Ondanks de demonstratie in Washington zal de fabrikant de gewraakte modellen niet terugroepen.
is dat niet china geworden..
staat china niet bekend om haar botnet en hackers zooi, sponsored by overheid???
paranoia mode uit...
Maar om de techniek dan meteen in te zetten voor je beveiliging, vind ik niet slim.
Gezichtsherkenning is (i.i.g. voorlopig) geen goed alternatief voor een wachtwoord, het is enkel goed bruikbaar als additionale authenticatie wanneer er gebruik gemaakt wordt van multi-factor authenticatie. Biometrie klinkt misschien hip, modern en nieuw, maar is daarom niet per definitie 'beter' dan bestaande methodes.
"staat china niet bekend om haar botnet en hackers zooi, sponsored by overheid???"
Gaap.
Geven ze hiermee nu aan dat de toepassing te wensen over laat en mede daarmee volledig overbodig is?
Als ik hem veilig wegberg, heb ik geen gezichtsherkenning nodig als beveiliging!
Just my 2ct.
Dit had iedereen wel kunnen bedenken dat je met 1 webcam op een laptop geen valide gezichtsherkenning kan uitvoeren en dat het simpel te foppen is.
Hetzelfde geld naar mijn mening (dan wel in mindere mate) voor het inloggen met je vingerafdruk.
Ik weet dat de mythbusters er zo nu en dan naast zitten maar ze hebben toch wel overduidelijk laten zien dat toegang verkrijgen dmv een vingerafdruk nog in de kinderschoenen staat en simpel te omzeilen is.
Als je echt niet wil dat men kan inloggen gebruik dan gewoon een een wachtwoord of een combi.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
