Onderzoekers hacken smartphone met papieren vingerafdruk
Onderzoekers zijn erin geslaagd om van verschillende smartphones de vingerafdrukscanner met een geprinte vingerafdruk op een velletje papier te misleiden en zo het toestel te ontgrendelen. In het verleden is vaker aangetoond dat vingerafdrukscanners zijn te misleiden, bijvoorbeeld via houtlijm of latexmelk.
Volgens onderzoekers Kai Cao en Anil Jain (pdf) van de Michigan State University is dit een bewerkelijk en tijdrovend proces. Zij zochten daarom naar een eenvoudigere manier. De oplossing werd gevonden in geleidende zilverinkt en een scan van de vingerafdruk. Vervolgens werd de vingerafdruk op speciaal papier geprint, waarmee het lukte om de vingerafdrukscanners van de Samsung Galaxy S6 en Huawei Hornor 7 te misleiden en zo toegang tot het toestel te krijgen. Daarbij bleek de laatstgenoemde smartphone iets lastiger te hacken, aldus de onderzoekers.
Cao en Jain stellen dat hun experiment laat zien dat er dringend behoefte aan anti-spoofingtechnieken voor vingerafdrukscanners is, zeker in het geval van smartphones, waar het mogelijk is om via een vingerafdruk het toestel te ontgrendelen of te betalen. De methode werkt niet op alle smartphones, maar volgens de onderzoekers is het slechts een kwestie van tijd voordat hackers niet alleen vingerafdrukken weten te kraken, maar ook andere biometrische kenmerken die voor authenticatie op smartphones worden gebruikt. In onderstaande video demonstreren de onderzoekers hun aanval.
Met deze mogelijkheid, ongetwijfeld reeds bekend bij de FBI hebben ze Apple helemaal niet meer nodig om in je telefoon te kunnen rondneuzen.
Hashable Spoofable Simpel verkrijgbaar
wachtwoord ja nee nee
vingerafdruk nee ja ja
Toegangscodes dienen niet alleen persoonlijk te zijn, maar ook regelmatig veranderd te worden.
Om nog maar niet te spreken over de impact van het lekken van biometrische gegevens.
Dan hoeft ook die ophef niet meer.
Hashable Spoofable Simpel verkrijgbaar
wachtwoord ja nee nee
vingerafdruk nee ja ja
https://www.youtube.com/watch?v=lkvwhInv828
OK, het was geen smartphone maar toch oud verhaal.
Dus als je niet wil dat criminelen met jouw biometrische data aan de haal gaan (mallware op je toestel bv) dan kun je beter de flatcable naar de sensor lospeuteren. Met een beetje geluk krijg je geen foutmelding zoals in de vorige versie van iOS tijdelijk het geval was. Afplakken zou in theorie ook moeten werken omdat de sensor met infraroodlicht werkt.
Wellicht voor alle tweakers een idee om hier te posten welke toestellen dit wel en niet toelaten.
Je vingers hebben ook geen vaste maat. Warme vingers hebben andere afmetingen dan koude. En de ene keer druk je ook harder dan de andere. Zonder marges krijg je te vaak onterecht nee of onterecht ja. Maar het is meteen een kiertje in de beveiliging. Misschien moet je je afvragen of je wel een apparaat op zak wilt hebben dat zo kwetsbaar is dat je het zo sterk moet/wilt beveiligen. Zelf beantwoord ik die vraag met nee.
Terug naar de echte wereld:
Je hebt nog altijd het apparaat zelf nodig waar je de trucage op los wilt laten; de eerste en basale stap van security: zorg dat derden geen toegang tot je apparaat hebben. Een verstandig persoon (zoals ik) houdt buitenshuis de telefoon altijd dichtbij (dat is: in de hand, of in een zak van de kleding).
Maar stel dat je telefoon gestolen is, dan fungeert de vingerafdrukscanner als een vertragingsmethode tegen de crimineel om bij je data te komen. Zo bied dat tijd genoeg om contact op te nemen met je bank (om telefoon te blokkeren), telecomprovider (om telefoon simkaart te blokkeren), eventuele cloud diensten (om toegang te blokkeren), en eventueel om op afstand de data op je telefoon te encrypten of te delete-en.
Food for thought: vergeet niet dat een telefoon booted en in standby nooit 100% secure zal zijn; je moet nog altijd vele acties buitenom je vergrendeling kunnen (laten) uitvoeren (o.a. het accepteren van telefoontjes, software updates ontvangen, SMS ontvangen, connectiviteit behouden met bluetooth rand apparatuur, enzovoort...).
Dan hoeft ook die ophef niet meer.
Toegangscodes dienen niet alleen persoonlijk te zijn, maar ook regelmatig veranderd te worden.
Om nog maar niet te spreken over de impact van het lekken van biometrische gegevens.
Als je opnieuw je vingerafdruk 'inleest' krijg je nooit exact de zelfde hash terug en heb je iets wat vergelijkbaar is met een nieuw password.
Vingerafdruk is ook hashable hoor: een digitaal vingerafdrukplaatje is reeds omgezet in getallen, en die zijn hashable.
http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/
Vingerafdruk is ook hashable hoor: een digitaal vingerafdrukplaatje is reeds omgezet in getallen, en die zijn hashable.
http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/
Toegangscodes dienen niet alleen persoonlijk te zijn, maar ook regelmatig veranderd te worden.
Om nog maar niet te spreken over de impact van het lekken van biometrische gegevens.
Als je opnieuw je vingerafdruk 'inleest' krijg je nooit exact de zelfde hash terug en heb je iets wat vergelijkbaar is met een nieuw password.
Een vingerafdruk dient ter identificatie en niet ter authorisatie.
Peter
Een vingerafdruk dient ter identificatie en niet ter authorisatie.
Peter
Tegenwoordig wel. Bij telefoons bijvoorbeeld. "unlocken" met je vingerafdruk.
Unlocken = toegang geven = authoriseren :)
Voor zover we kunnen overzien, lijkt het er op dat die afdrukken in de VS niet opgeslagen worden (maar vergeleken met een zwarte lijst) en ook dat ze zodanig verhaspeld worden dat je ze niet zou kunnen gebruiken. Er is mij echter geen bewijs bekend. In ieder geval is het verstandig (best practice) om die afdrukken dus niet voor andere doeleinden te gebruiken, en al helemaal niet voor je financiële zaken.
https://www.youtube.com/watch?v=lkvwhInv828
OK, het was geen smartphone maar toch oud verhaal.
Eens, maar de vingerafdrukken zijn nog altijd met een zodanige legendevorming als perfect identificatiemiddel omgeven dat enige herhaling geen kwaad kan.
Overigens is mijn favoriete methode nog altijd de gelatine (van de winegums) methode van de Universiteit van Yokohama.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
