image

Onderzoekers hacken smartphone met papieren vingerafdruk

zondag 6 maart 2016, 13:07 door Redactie, 20 reacties

Onderzoekers zijn erin geslaagd om van verschillende smartphones de vingerafdrukscanner met een geprinte vingerafdruk op een velletje papier te misleiden en zo het toestel te ontgrendelen. In het verleden is vaker aangetoond dat vingerafdrukscanners zijn te misleiden, bijvoorbeeld via houtlijm of latexmelk.

Volgens onderzoekers Kai Cao en Anil Jain (pdf) van de Michigan State University is dit een bewerkelijk en tijdrovend proces. Zij zochten daarom naar een eenvoudigere manier. De oplossing werd gevonden in geleidende zilverinkt en een scan van de vingerafdruk. Vervolgens werd de vingerafdruk op speciaal papier geprint, waarmee het lukte om de vingerafdrukscanners van de Samsung Galaxy S6 en Huawei Hornor 7 te misleiden en zo toegang tot het toestel te krijgen. Daarbij bleek de laatstgenoemde smartphone iets lastiger te hacken, aldus de onderzoekers.

Cao en Jain stellen dat hun experiment laat zien dat er dringend behoefte aan anti-spoofingtechnieken voor vingerafdrukscanners is, zeker in het geval van smartphones, waar het mogelijk is om via een vingerafdruk het toestel te ontgrendelen of te betalen. De methode werkt niet op alle smartphones, maar volgens de onderzoekers is het slechts een kwestie van tijd voordat hackers niet alleen vingerafdrukken weten te kraken, maar ook andere biometrische kenmerken die voor authenticatie op smartphones worden gebruikt. In onderstaande video demonstreren de onderzoekers hun aanval.

Image

Reacties (20)
06-03-2016, 13:37 door Anoniem
Er is een reden dat je bij binnenkomst in de states je vingerafdrukken moet afgeven. Of in NL bij het aanvragen van een paspoort.
Met deze mogelijkheid, ongetwijfeld reeds bekend bij de FBI hebben ze Apple helemaal niet meer nodig om in je telefoon te kunnen rondneuzen.
06-03-2016, 13:54 door Anoniem
Fingerafdruk beter dan wachtwoord?

Hashable Spoofable Simpel verkrijgbaar
wachtwoord ja nee nee
vingerafdruk nee ja ja
06-03-2016, 15:24 door Anoniem
Biometrische beveiliging is niet veilig.

Toegangscodes dienen niet alleen persoonlijk te zijn, maar ook regelmatig veranderd te worden.
Om nog maar niet te spreken over de impact van het lekken van biometrische gegevens.
06-03-2016, 15:24 door Anoniem
Tja dan kan de FBI de telefoon van de schutter van San Bernadino zo ook ontgrendelen misschien.
Dan hoeft ook die ophef niet meer.
06-03-2016, 15:29 door Anoniem
Door Anoniem: Fingerafdruk beter dan wachtwoord?

Hashable Spoofable Simpel verkrijgbaar
wachtwoord ja nee nee
vingerafdruk nee ja ja
Vingerafdruk is ook hashable hoor: een digitaal vingerafdrukplaatje is reeds omgezet in getallen, en die zijn hashable.
06-03-2016, 16:06 door Anoniem
Zwart-wit? En geprinte vingerafdrukken zijn waarschijnlijk ook net iets groter of kleiner dan de echte vingerafdrukken en de vingerafdrukscanner van de phone trapt er toch in? Dat is wel erg zwak.
06-03-2016, 16:40 door Anoniem
Dit is allang gedaan bij Mythbusters. Youtube filmpje is gepost in 2009.
https://www.youtube.com/watch?v=lkvwhInv828
OK, het was geen smartphone maar toch oud verhaal.
06-03-2016, 19:54 door Anoniem
Leuk zon vingerafdrukscanner, om massaal biometrische informatie te verzamelen dan wel. Veiliger dan wachtwoorden is het niet, hooguit iets gemakkelijker (als het feiloos werkt heet dat).

Dus als je niet wil dat criminelen met jouw biometrische data aan de haal gaan (mallware op je toestel bv) dan kun je beter de flatcable naar de sensor lospeuteren. Met een beetje geluk krijg je geen foutmelding zoals in de vorige versie van iOS tijdelijk het geval was. Afplakken zou in theorie ook moeten werken omdat de sensor met infraroodlicht werkt.

Wellicht voor alle tweakers een idee om hier te posten welke toestellen dit wel en niet toelaten.
06-03-2016, 21:29 door Anoniem
De FBI zal vingerafdrukken op devices wel toejuichen, dan hoeven ze je alleen maar dood te schieten om toegang te krijgen en was een rechtzaak tegen een fabrikant helemaal niet nodig.
06-03-2016, 23:15 door Anoniem
Door Anoniem: Zwart-wit? En geprinte vingerafdrukken zijn waarschijnlijk ook net iets groter of kleiner dan de echte vingerafdrukken en de vingerafdrukscanner van de phone trapt er toch in? Dat is wel erg zwak.

Je vingers hebben ook geen vaste maat. Warme vingers hebben andere afmetingen dan koude. En de ene keer druk je ook harder dan de andere. Zonder marges krijg je te vaak onterecht nee of onterecht ja. Maar het is meteen een kiertje in de beveiliging. Misschien moet je je afvragen of je wel een apparaat op zak wilt hebben dat zo kwetsbaar is dat je het zo sterk moet/wilt beveiligen. Zelf beantwoord ik die vraag met nee.
07-03-2016, 00:28 door Anoniem
Omg! Researchers hebben opnieuw aangetoond dat ze een vingerafdrukscanner kunnen foppen! Moord - brand - help!!!

Terug naar de echte wereld:
Je hebt nog altijd het apparaat zelf nodig waar je de trucage op los wilt laten; de eerste en basale stap van security: zorg dat derden geen toegang tot je apparaat hebben. Een verstandig persoon (zoals ik) houdt buitenshuis de telefoon altijd dichtbij (dat is: in de hand, of in een zak van de kleding).

Maar stel dat je telefoon gestolen is, dan fungeert de vingerafdrukscanner als een vertragingsmethode tegen de crimineel om bij je data te komen. Zo bied dat tijd genoeg om contact op te nemen met je bank (om telefoon te blokkeren), telecomprovider (om telefoon simkaart te blokkeren), eventuele cloud diensten (om toegang te blokkeren), en eventueel om op afstand de data op je telefoon te encrypten of te delete-en.

Food for thought: vergeet niet dat een telefoon booted en in standby nooit 100% secure zal zijn; je moet nog altijd vele acties buitenom je vergrendeling kunnen (laten) uitvoeren (o.a. het accepteren van telefoontjes, software updates ontvangen, SMS ontvangen, connectiviteit behouden met bluetooth rand apparatuur, enzovoort...).
07-03-2016, 02:09 door johanw
Door Anoniem: Tja dan kan de FBI de telefoon van de schutter van San Bernadino zo ook ontgrendelen misschien.
Dan hoeft ook die ophef niet meer.
Dat is een iPhone 5C, die heeft geen vingerafdruk scanner.
07-03-2016, 06:39 door Anoniem
Door Anoniem: Biometrische beveiliging is niet veilig.

Toegangscodes dienen niet alleen persoonlijk te zijn, maar ook regelmatig veranderd te worden.
Om nog maar niet te spreken over de impact van het lekken van biometrische gegevens.

Als je opnieuw je vingerafdruk 'inleest' krijg je nooit exact de zelfde hash terug en heb je iets wat vergelijkbaar is met een nieuw password.
07-03-2016, 08:59 door Anoniem

Vingerafdruk is ook hashable hoor: een digitaal vingerafdrukplaatje is reeds omgezet in getallen, en die zijn hashable.
Maak 2 keer een vingerafdruk en vergelijk die. Kans is nogal groot dat die niet 100% uniek zijn. Kijk ook eens wat het resultaat is van de hash waar je 1 teken in een wachtwoord veranderd. Meer info:
http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/
07-03-2016, 10:26 door Anoniem
Door Anoniem:

Vingerafdruk is ook hashable hoor: een digitaal vingerafdrukplaatje is reeds omgezet in getallen, en die zijn hashable.
Maak 2 keer een vingerafdruk en vergelijk die. Kans is nogal groot dat die niet 100% uniek zijn. Kijk ook eens wat het resultaat is van de hash waar je 1 teken in een wachtwoord veranderd. Meer info:
http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/
http://www.google.com/patents/US8005277: [..]A method for obtaining, hashing, storing and using fingerprint data related to fingerprint minutia comprising: [..]
07-03-2016, 10:35 door Anoniem
Door Anoniem:
Door Anoniem: Biometrische beveiliging is niet veilig.

Toegangscodes dienen niet alleen persoonlijk te zijn, maar ook regelmatig veranderd te worden.
Om nog maar niet te spreken over de impact van het lekken van biometrische gegevens.

Als je opnieuw je vingerafdruk 'inleest' krijg je nooit exact de zelfde hash terug en heb je iets wat vergelijkbaar is met een nieuw password.
http://www.sciencedirect.com/science/article/pii/S0031320312001008 Volledige artikel zit helaas achter een betaalmuur, maar de techniek achter fingerprint readers and hoe die te matchen is onvergelijkbaar met wachtwoorden. Er bestaan daarom ook hele andere manieren om een gehashte representatie van je vingerafdruk te maken dan de bekende MD* en SHA* hashing methodes.
07-03-2016, 10:56 door Anoniem
Biometrische kenmerken dienen uitsluitend een gebruikersnaam te vervangen (authenticatie) en _nooit_ het wachtwoord (autorisatie). Een veel gemaakte denkfout in de IT.
07-03-2016, 14:10 door Anoniem
Door Anoniem: Biometrische kenmerken dienen uitsluitend een gebruikersnaam te vervangen (authenticatie) en _nooit_ het wachtwoord (autorisatie). Een veel gemaakte denkfout in de IT.

Een vingerafdruk dient ter identificatie en niet ter authorisatie.

Peter
07-03-2016, 15:27 door Anoniem
Door Anoniem:
Door Anoniem: Biometrische kenmerken dienen uitsluitend een gebruikersnaam te vervangen (authenticatie) en _nooit_ het wachtwoord (autorisatie). Een veel gemaakte denkfout in de IT.

Een vingerafdruk dient ter identificatie en niet ter authorisatie.

Peter

Tegenwoordig wel. Bij telefoons bijvoorbeeld. "unlocken" met je vingerafdruk.

Unlocken = toegang geven = authoriseren :)
07-03-2016, 19:57 door Anoniem
Door Anoniem: Er is een reden dat je bij binnenkomst in de states je vingerafdrukken moet afgeven. Of in NL bij het aanvragen van een paspoort.

Voor zover we kunnen overzien, lijkt het er op dat die afdrukken in de VS niet opgeslagen worden (maar vergeleken met een zwarte lijst) en ook dat ze zodanig verhaspeld worden dat je ze niet zou kunnen gebruiken. Er is mij echter geen bewijs bekend. In ieder geval is het verstandig (best practice) om die afdrukken dus niet voor andere doeleinden te gebruiken, en al helemaal niet voor je financiële zaken.

Door Anoniem: Dit is allang gedaan bij Mythbusters. Youtube filmpje is gepost in 2009.
https://www.youtube.com/watch?v=lkvwhInv828
OK, het was geen smartphone maar toch oud verhaal.

Eens, maar de vingerafdrukken zijn nog altijd met een zodanige legendevorming als perfect identificatiemiddel omgeven dat enige herhaling geen kwaad kan.

Overigens is mijn favoriete methode nog altijd de gelatine (van de winegums) methode van de Universiteit van Yokohama.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.