Android P legt zwakke biometrische authenticatie aan banden
De nieuwste versie van het Android-besturingssysteem zal zwakke biometrische authenticatie aan banden leggen, waardoor gebruikers vaker hun pincode moeten invoeren, zo heeft Google op het eigen blog bekendgemaakt. Biometrische authenticatie laat gebruikers bijvoorbeeld via hun vingerafdruk inloggen.
Er zijn verschillende criteria om de veiligheid van biometrisch inloggen te bepalen, waaronder de Spoof Accept Rate (SAR) en Imposter Accept Rate (IAR). Deze waarden tonen aan hoe eenvoudig het is om de biometrische authenticatie te omzeilen. Wanneer de waarden te laag zijn en er sprake is van zwakke biometrische authenticatie gaan er binnen Android P allerlei beperkingen gelden.
Zo worden gebruikers verplicht om elke vier uur bij inactiviteit van het toestel hun pincode, wachtwoord of ontgrendelpatroon in te voeren. Dit komt naast de "timeout" van 72 uur die zowel voor zwakke als sterke biometrie geldt. Ook zal zwakke biometrische authenticatie niet door de nieuwe BiometricPrompt API worden ondersteund. Dit is een programmeerinterface voor app-ontwikkelaars om gebruikers te authenticeren.
Daarnaast zal het niet mogelijk zijn om bepaalde transacties of betalingen te verrichten en krijgen gebruikers voor het inschakelen van de zwakke biometrie een waarschuwing te zien waarin de risico's staan vermeld. Volgens Google zijn deze maatregelen bedoeld om zwakkere biometrie toe te staan, terwijl het risico van ongeautoriseerde toegang wordt beperkt.
Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.
Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.
Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.
Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.
Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.
Dat komt omdat de fabrikanten zelf wijzigingen aanbrengen aan Android. Bij de Nexus telefoons ging het wel goed. Als het goed is komt er wel verandering in de opzet van Android zodat updaten makkelijker wordt.
Ik ben het met je eens dat iOS beter georganiseerd is maar helaas kan niet iedereen zich een iPhone veroorloven ook al is het een goed product. Op dit moment ben ik wel gecharmeerd van Nokia, stock Android telefoons van goede kwaliteit tegen een schappelijke prijs met langdurig updates, dat hebben ze beloofd in elk geval.
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.
Vaak ligt het wel bij de fabrikant omdat die zo nodig allerlei extra functies en bloatware toe moet voegen aan het stock Android OS. Hierdoor moeten al die updates getest worden voordat ze uitgerold kunnen worden, wat tijd en geld kost. Hierdoor is het ook niet interessant voor de fabrikant om dit updaten al te lang vol te houden.
Daarnaast denk ik dat een open OS meer CVE's zal opleveren dan een gesloten OS (als iOS) omdat er meer en wellicht beter getest kan worden. Het feit dat er meer CVE's zijn zie ik daarom juist als een positief iets. Iemand die denkt dat iOS beter beveiligd is omdat er minder CVE's zijn zit met een vertekend beeld. Dat is in elk geval mijn mening.
Ik heb al die dingen uitgeschakeld, want het is pure onzin. Maar dan. Broekzak calls. (Telefoon en Contacten maar van mijn startscherm gehaald dus). Dan staat ineens mijn bluetooth aan. Of mijn zaklamp. Of mijn wifi staat uit. Of scherm draaien. Er zit niks op waarmee ik gewoon kan zeggen, klaar, in mijn broekzak. Het ding heeft een eigen leven. De GPS licht regelmating op terwijl ik helemaal geen route wil plannen. En zo nog wat.
Ik heb er geen enkele controle over. Wie dat bedacht heeft? Als ik de sleutel uit mijn auto haal begint ie toch ook niet spontaan te starten en schakelen en te toeteren? Het is een klotesysteem, dat Android. Iphone trouwens net zo. Die had ik vroeger, die had zo een schakelaar aan de zijkant. Als ik die in mijn broekzak stak moest ik ook al verplicht stil zitten en niet bewegen. Allemaal rommel.
Wileyfof gaf mij een paar dagen geleden 8.1.0
Hopelijk blijven ze mijn toestel nog een paar jaar ondersteunen.
Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.
Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.
Ondanks al die vermeende kwetsbaarheden ken ik werkelijk niemand wiens Android telefoon daadwerkelijk is gehackt! Jij wel? De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'.
Dat ligt vooral aan de fabrikanten. Hopen dat Android One een steeds groter aandeel krijgt. Sommige fabrikanten zijn op de goede weg.
Naar mijn idee ligt dat niet geheel aan de fabrikanten. Het ligt denk ik ook deels aan het OS zelf dat (blijkbaar) niet eenvoudig te updaten is door de leverancier. Kijk maar eens naar de adaptie van het OS per device https://data.apteligent.com/android/devices/
Android blijft wat veiligheid betreft een derderangs OS. Zeker als je bekijkt hoeveel kwetsbaarheden er in zit volgens CVE.
Ondanks al die vermeende kwetsbaarheden ken ik werkelijk niemand wiens Android telefoon daadwerkelijk is gehackt! Jij wel? De beveiligingsbasis van Android is blijkbaar zo robuust dat die kwetsbaarheden in de gerommel in de marge categorie vallen. Niet 'in the wild'.
Ik gebruik mijn kennissen kring niet als meetmethode of iets veilig is.
Ik gebruik mijn kennissen kring niet als meetmethode of iets veilig is.
Mijn opmerking was natuurlijk in overdrachtelijke zin bedoeld. Nog een keer maar dan uitgekauwd:
Ik gebruik mijn kennissen kring niet als meetmethode of iets veilig is.
Mijn opmerking was natuurlijk in overdrachtelijke zin bedoeld. Nog een keer maar dan uitgekauwd:
Hoe ven je zo zeker van je zaak? Kan je het onderbouwen?
Het bevreemd mij dat je in de pers niets hoort over het breken van de Android beveiliging door de FBI, maar regelmatig over Apple. Ik zou denken dat Android een stuk makkelijker te breken is. Zeker als je kijkt naar hoeveel apparaten niet up to date zijn, zelfs zwaar verouderd. Leg dit langs de bekende kwetsbaarheden: CVE’s en de conclusie is helder: Android is zwakker dan bijvoorbeeld IOS. Apple is duidelijk beter is staat haar hardware up to date te houden. Zonder dat dit de gebruiker moeite kost.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
