image

Android P legt zwakke biometrische authenticatie aan banden

vrijdag 22 juni 2018, 10:09 door Redactie, 12 reacties

De nieuwste versie van het Android-besturingssysteem zal zwakke biometrische authenticatie aan banden leggen, waardoor gebruikers vaker hun pincode moeten invoeren, zo heeft Google op het eigen blog bekendgemaakt. Biometrische authenticatie laat gebruikers bijvoorbeeld via hun vingerafdruk inloggen.

Er zijn verschillende criteria om de veiligheid van biometrisch inloggen te bepalen, waaronder de Spoof Accept Rate (SAR) en Imposter Accept Rate (IAR). Deze waarden tonen aan hoe eenvoudig het is om de biometrische authenticatie te omzeilen. Wanneer de waarden te laag zijn en er sprake is van zwakke biometrische authenticatie gaan er binnen Android P allerlei beperkingen gelden.

Zo worden gebruikers verplicht om elke vier uur bij inactiviteit van het toestel hun pincode, wachtwoord of ontgrendelpatroon in te voeren. Dit komt naast de "timeout" van 72 uur die zowel voor zwakke als sterke biometrie geldt. Ook zal zwakke biometrische authenticatie niet door de nieuwe BiometricPrompt API worden ondersteund. Dit is een programmeerinterface voor app-ontwikkelaars om gebruikers te authenticeren.

Daarnaast zal het niet mogelijk zijn om bepaalde transacties of betalingen te verrichten en krijgen gebruikers voor het inschakelen van de zwakke biometrie een waarschuwing te zien waarin de risico's staan vermeld. Volgens Google zijn deze maatregelen bedoeld om zwakkere biometrie toe te staan, terwijl het risico van ongeautoriseerde toegang wordt beperkt.

Reacties (12)
22-06-2018, 10:16 door Anoniem
Nu nog zorgen dat mensen ook de update installeren. Android 8.1 is pas op 2.5% van alle devices geïnstalleerd.
22-06-2018, 11:05 door Anoniem
Als je geen updates krijgt vanuit de leverancier van de telefoon gaat het heel lastig worden om de updates te installeren. Laatste beveiligingspatches op mijn Android toestel zijn alweer van augustus 2017...
22-06-2018, 11:06 door [Account Verwijderd]
Door Anoniem: Nu nog zorgen dat mensen ook de update installeren. Android 8.1 is pas op 2.5% van alle devices geïnstalleerd.

Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.
22-06-2018, 13:40 door Anoniem
Door linux4:
Door Anoniem: Nu nog zorgen dat mensen ook de update installeren. Android 8.1 is pas op 2.5% van alle devices geïnstalleerd.

Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.

Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.
22-06-2018, 14:39 door [Account Verwijderd]
Door Anoniem:
Door linux4:
Door Anoniem: Nu nog zorgen dat mensen ook de update installeren. Android 8.1 is pas op 2.5% van alle devices geïnstalleerd.

Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.

Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.

Dat komt omdat de fabrikanten zelf wijzigingen aanbrengen aan Android. Bij de Nexus telefoons ging het wel goed. Als het goed is komt er wel verandering in de opzet van Android zodat updaten makkelijker wordt.

Ik ben het met je eens dat iOS beter georganiseerd is maar helaas kan niet iedereen zich een iPhone veroorloven ook al is het een goed product. Op dit moment ben ik wel gecharmeerd van Nokia, stock Android telefoons van goede kwaliteit tegen een schappelijke prijs met langdurig updates, dat hebben ze beloofd in elk geval.
22-06-2018, 14:42 door Anoniem
Door Anoniem:Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.

Vaak ligt het wel bij de fabrikant omdat die zo nodig allerlei extra functies en bloatware toe moet voegen aan het stock Android OS. Hierdoor moeten al die updates getest worden voordat ze uitgerold kunnen worden, wat tijd en geld kost. Hierdoor is het ook niet interessant voor de fabrikant om dit updaten al te lang vol te houden.

Daarnaast denk ik dat een open OS meer CVE's zal opleveren dan een gesloten OS (als iOS) omdat er meer en wellicht beter getest kan worden. Het feit dat er meer CVE's zijn zie ik daarom juist als een positief iets. Iemand die denkt dat iOS beter beveiligd is omdat er minder CVE's zijn zit met een vertekend beeld. Dat is in elk geval mijn mening.
22-06-2018, 16:06 door Anoniem
Met al die flauwekul van pincodes, vingerafdrukken (werkt totaal schede), gezichtsherkenning geeft mijn Android me ook nog eens een vals gevoel van veiligheid. En een hoop gedoe. Zelfs gewoon altijd maar weer die code intikken terwijl het de meest vieze privacystofzuiger is die daar achter draait. Of komt er een gesprek binnen, eerst weer die code, terwijl de ribgtone maar door gaat.

Ik heb al die dingen uitgeschakeld, want het is pure onzin. Maar dan. Broekzak calls. (Telefoon en Contacten maar van mijn startscherm gehaald dus). Dan staat ineens mijn bluetooth aan. Of mijn zaklamp. Of mijn wifi staat uit. Of scherm draaien. Er zit niks op waarmee ik gewoon kan zeggen, klaar, in mijn broekzak. Het ding heeft een eigen leven. De GPS licht regelmating op terwijl ik helemaal geen route wil plannen. En zo nog wat.

Ik heb er geen enkele controle over. Wie dat bedacht heeft? Als ik de sleutel uit mijn auto haal begint ie toch ook niet spontaan te starten en schakelen en te toeteren? Het is een klotesysteem, dat Android. Iphone trouwens net zo. Die had ik vroeger, die had zo een schakelaar aan de zijkant. Als ik die in mijn broekzak stak moest ik ook al verplicht stil zitten en niet bewegen. Allemaal rommel.
23-06-2018, 08:26 door Anoniem
Door Anoniem: Nu nog zorgen dat mensen ook de update installeren. Android 8.1 is pas op 2.5% van alle devices geïnstalleerd.

Wileyfof gaf mij een paar dagen geleden 8.1.0

Hopelijk blijven ze mijn toestel nog een paar jaar ondersteunen.
23-06-2018, 09:21 door -karma4
Door Anoniem:
Door linux4:
Door Anoniem: Nu nog zorgen dat mensen ook de update installeren. Android 8.1 is pas op 2.5% van alle devices geïnstalleerd.

Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.

Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.

Ondanks al die vermeende kwetsbaarheden ken ik werkelijk niemand wiens Android telefoon daadwerkelijk is gehackt! Jij wel? De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'.
23-06-2018, 22:48 door Anoniem
Door The FOSS:
Door Anoniem:
Door linux4:
Door Anoniem: Nu nog zorgen dat mensen ook de update installeren. Android 8.1 is pas op 2.5% van alle devices geïnstalleerd.

Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.

Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.

Ondanks al die vermeende kwetsbaarheden ken ik werkelijk niemand wiens Android telefoon daadwerkelijk is gehackt! Jij wel? De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'.

Ik gebruik mijn kennissen kring niet als meetmethode of iets veilig is.
24-06-2018, 09:20 door -karma4
Door Anoniem:
Door The FOSS: Ondanks al die vermeende kwetsbaarheden ken ik werkelijk niemand wiens Android telefoon daadwerkelijk is gehackt! Jij wel? De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'.

Ik gebruik mijn kennissen kring niet als meetmethode of iets veilig is.

Mijn opmerking was natuurlijk in overdrachtelijke zin bedoeld. Nog een keer maar dan uitgekauwd:

Ondanks al die vermeende kwetsbaarheden is er werkelijk niemand bekend wiens Android telefoon daadwerkelijk is gehackt! De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'
24-06-2018, 11:44 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS: Ondanks al die vermeende kwetsbaarheden ken ik werkelijk niemand wiens Android telefoon daadwerkelijk is gehackt! Jij wel? De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'.

Ik gebruik mijn kennissen kring niet als meetmethode of iets veilig is.

Mijn opmerking was natuurlijk in overdrachtelijke zin bedoeld. Nog een keer maar dan uitgekauwd:

Ondanks al die vermeende kwetsbaarheden is er werkelijk niemand bekend wiens Android telefoon daadwerkelijk is gehackt! De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'

Hoe ven je zo zeker van je zaak? Kan je het onderbouwen?
Het bevreemd mij dat je in de pers niets hoort over het breken van de Android beveiliging door de FBI, maar regelmatig over Apple. Ik zou denken dat Android een stuk makkelijker te breken is. Zeker als je kijkt naar hoeveel apparaten niet up to date zijn, zelfs zwaar verouderd. Leg dit langs de bekende kwetsbaarheden: CVE’s en de conclusie is helder: Android is zwakker dan bijvoorbeeld IOS. Apple is duidelijk beter is staat haar hardware up to date te houden. Zonder dat dit de gebruiker moeite kost.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.