Hackers omzeilen irisherkenning Samsung Galaxy S8
Hackers van de Duitse hackerclub CCC zijn erin geslaagd om de irisherkenning van de Samsung Galaxy S8 met niets meer dan een afbeelding van een iris en een contactlens te hacken. De Samsung Galaxy S8 is de eerste populaire smartphone met irisherkenning.
Het systeem beweert gebruikers aan de hand van hun unieke irispatroon te kunnen herkennen. De authenticatie is echter eenvoudig te omzeilen. In een video laten de onderzoekers zien hoe ze met de nachtmodus van een fototoestel een foto van iemands ogen maken. Vervolgens wordt de foto op een laserprinter afgedrukt. Als laatste wordt er een contactlens op de afbeelding gelegd, wat voldoende is om de irisherkenning te omzeilen en het toestel te ontgrendelen.
"Ironisch genoeg kregen we beste resultaten met de laserprinters van Samsung", zo laat de CCC weten. De foto kan op een afstand van 5 meter worden gemaakt. Het is wel belangrijk dat de nachtmodus staat ingeschakeld. "Als je de data op je telefoon belangrijk vindt, en het mogelijk voor betalingen wil gebruiken, is het gebruik van de traditionele pin-beveiliging veiliger dan het gebruik van lichaamseigenschappen voor authenticatie", aldus de onderzoekers.
Samsung kondigde eerder aan dat het de irisherkenning aan het eigen betaalsysteem "Samsung Pay" wil koppelen. Een aanvaller krijgt op deze manier niet alleen toegang tot de gegevens op de telefoon, maar ook tot de mobiele portemonnee. Volgens de onderzoekers laat de hack zien dat biometrische authenticatiesystemen niet veilig zijn. Eerder wisten ze al Apple's TouchID te kraken.
Grappig...
Anyhow, als je serieus overweegt betalingen te verrichten op een veilige manier, dan laat je überhaupt iedere reguliere smartphone buiten beschouwing. Tenzij je zelf maximaal in-control bent over het toestel, adviseer ik er tegen.
Iedere zelf respecterende IT individu zal betalingen verrichten enkel op systemen die daartoe zijn ingericht. Met andere woorden, beveiligde systemen waar geen achtergrond processen draaien die van invloed kunnen zijn op of informatie kunnen ontnemen uit betalingsverkeer.
Alternatief is natuurlijk de aloude acceptgiro.
Identificatie is het kenbaar maken van de identiteit, zie https://nl.wikipedia.org/wiki/Identificatie_(informatica).
Bij de authenticatie wordt gecontroleerd of een opgegeven bewijs van identiteit overeenkomt met echtheidskenmerken, bijvoorbeeld een in het systeem geregistreerd bewijs, zie https://nl.wikipedia.org/wiki/Authenticatie.
Het probleem is dat je bij enkel biometrie gebruik maakt van 1 factor, en een factor die zogenaamd geheim moet zijn/blijven, maar in de praktijk eenvoudig te achterhalen is (vingerafdruk, iris op een foto).
Een persoon lekt in het dagelijks leven de eigen biometrie naar de omgeving waardoor het dus per definitie ongeschikt is als authenticiteit.
Grappig...
Anyhow, als je serieus overweegt betalingen te verrichten op een veilige manier, dan laat je überhaupt iedere reguliere smartphone buiten beschouwing. Tenzij je zelf maximaal in-control bent over het toestel, adviseer ik er tegen.
Iedere zelf respecterende IT individu zal betalingen verrichten enkel op systemen die daartoe zijn ingericht. Met andere woorden, beveiligde systemen waar geen achtergrond processen draaien die van invloed kunnen zijn op of informatie kunnen ontnemen uit betalingsverkeer.
Alternatief is natuurlijk de aloude acceptgiro.
Ik neem aan dat jij dus een zelf respecterende IT'er bent.. Welke systemen zijn er in jouw ogen daarvoor ingericht? Ben toch wel benieuwd. Tegenwoordig zitten overal wel exploits, bugs of kan gehackt worden.
Correct. Het enige correcte antwoord hier is dat je een handjevol distributies kan gebruiken die security technisch in de basis de meeste zaken voor elkaar hebben. In dit handje vol zitten OpenBSD als koploper gevolgd door, bijvoorbeeld Arch Linux. Het voordeel van een dergelijk OS is de maximale controle over het OS ten aanzien van achtergrond processen, resourcedeling en kernel.
Uiteraard is een Windows machine te beveiligen; zet een vergiet in een emmer en je lekkage stopt in die perimeter. Windows is onvriendelijk als het aankomt op configuratie en security. UNIX is gebouwd met die aspecten als primair doel, uiteraard moet er wat meer technische achtergrond aanwezig zijn bij de gebruiker/beheerder van het systeem, maar dat is een klein obstakel ten aanzien van het dichtplakken van alle gaatjes in het vergiet.
En ja, ik besef me wel degelijk dat de core versies van Windows Server edities wel degelijk intelligenter zijn ontworpen en dat de attack-surface voor het Windows OS vele malen groter is.
Het probleem is dat je bij enkel biometrie gebruik maakt van 1 factor, en een factor die zogenaamd geheim moet zijn/blijven, maar in de praktijk eenvoudig te achterhalen is (vingerafdruk, iris op een foto) ....
Dat een niet levend iets wat los staat van een lichaan geaccepteerd wordt is een implementatie van de techniek. Het is niet een opgelegd iets. Het ultieme is de complete biometrie van de betreffende persoon.
Falende realisaties is een teken dat het beter moet. Niet dat het idee fout is.
Grappig...
Anyhow, als je serieus overweegt betalingen te verrichten op een veilige manier, dan laat je überhaupt iedere reguliere smartphone buiten beschouwing. Tenzij je zelf maximaal in-control bent over het toestel, adviseer ik er tegen.
Iedere zelf respecterende IT individu zal betalingen verrichten enkel op systemen die daartoe zijn ingericht. Met andere woorden, beveiligde systemen waar geen achtergrond processen draaien die van invloed kunnen zijn op of informatie kunnen ontnemen uit betalingsverkeer.
Alternatief is natuurlijk de aloude acceptgiro.
Als iedereen zo zou denken hadden we nog maar een handjevol "zichzelf respecterende IT-individu's" nodig in deze samenleving omdat dergelijke systemen -voor de gemiddelde consumenten- veel te ingewikkeld zijn.
Het leven bestaat nu eenmaal uit risico's, dat is in het verkeer zo, thuis in huis en ook in de IT-wereld. Als ik diezelfde gedachtegang zou doortrekken naar het verkeer, zouden alle auto's voorzien moeten zijn van ballonbumpers en niet sneller kunnen rijden van 30 km/u, want ja... er kan iets misgaan of een technisch defect optreden. Als je harder rijdt dan 30 km/u kan dat jou of iemand anders zijn dood betekenen...
CCC staat er nu eenmaal bekend om, alle soorten van beveiligingen te proberen te omzeilen, gewoon omdat het kan. Zolang de bank niet expliciet in haar voorwaarden deze vorm van beveiliging verbiedt, is er weinig aan de hand voor de consument. De banken verplichten inmiddels wel een goede vorm van antivirus- en malwareprogramma op de apparaten die gebruikt worden voor betalingen, maar dat hebben ook nog steeds een hele grote groep consumenten niet en dat is veel zorgelijker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
