Androidgebruikers kunnen via vingerafdruk op Google-diensten inloggen
Google gaat de komende dagen een nieuwe feature uitrollen waardoor eigenaren van een telefoon met Android 7 of nieuwer via hun vingerafdruk op verschillende Google-diensten kunnen inloggen. Voor eigenaren van een Pixel-toestel is de optie al beschikbaar. Google wil met deze feature naar eigen zeggen een "eenvoudigere inlogervaring" bieden.
Gebruikers van een Androidtoestel met een vingerafdrukscanner kunnen al via een vingerafdruk op het apparaat zelf inloggen, maar dankzij WebAuthentication en de FIDO2-standaard is het mogelijk om met die vingerafdruk ook op webapplicaties in te loggen. FIDO2 is een project van de Fast IDentity Online (FIDO)-Alliantie. Deze alliantie heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Via FIDO2 kunnen gebruikers op apps en websites inloggen zonder het gebruik van een gebruikersnaam of wachtwoord.
"Dit houdt in dat een gebruiker zijn vingerafdruk één keer bij een dienst hoeft te registreren en de vingerafdruk zowel voor de lokale applicatie als de webdienst werkt", zegt Christiaan Brand van Google. Hij merkt op dat de vingerafdruk nooit naar de servers van Google wordt gestuurd. "Het wordt veilig op je apparaat opgeslagen en alleen een cryptografisch bewijs dat je de vingerafdruk correct hebt gescand wordt naar Googles servers gestuurd."
Volgens Brand is de feature een volgende stap om authenticatie voor iedereen veiliger en eenvoudiger te maken. Google is van plan om op meer plekken lokale alternatieven voor wachtwoorden als inlogmechanisme voor Google- Google Cloud-diensten te accepteren. Om van de nieuwe feature gebruik te maken moet de telefoon op Android 7 of later draaien, het Google-account van de gebruiker aan het apparaat zijn toegevoegd en Chrome worden gebruikt. Verder moet er een geldige schermvergrendeling zijn ingesteld.
Je vingerafdruk wordt lokaal op je telefoon bewaard, opsporingsdiensten kunnen daar niet bij.
Je vingerafdruk wordt lokaal op je telefoon bewaard, opsporingsdiensten kunnen daar niet bij.
Wel als je toestel in beslag genomen wordt. Nu kan men nog gewoon weigeren zijn/haar wachtwoord af te geven ('of deze vergeten zijn'). Dat gaat in dit geval niet meer op.
Je vingerafdruk wordt lokaal op je telefoon bewaard, opsporingsdiensten kunnen daar niet bij.
Wel als ze je fysiek forceren om je vinger op je telefoon te houden.
Totdat er weer een rouge app toch die data steelt.
Het is veel veiliger om bij Google weg te blijven.
Je vingerafdruk wordt lokaal op je telefoon bewaard, opsporingsdiensten kunnen daar niet bij.
ik bedoel dan wel als ze je hebben opgepakt. een wachtwoord niet afgeven is een reële optie als crimineel zijnde. je vinger weghouden bij het apparaat onder dwang wordt al een stuk lastiger ....
Totdat er weer een rouge app toch die data steelt.
Het is veel veiliger om bij Google weg te blijven.
Rouge apps zat. Mobile Vulnerability Database App installeren en je schrikt. 50-100 exploits op je telefoon na alle updates. Zeker bij de vendor specifieke roms die je bij providers krijgt en waar je niet vanaf kan.
Je mobiel hoeft niets naar Google te sturen. Via een app of een bug in een protocol (Bluetooth suite?) zijn al zo vaak telefoons gepowned. Met de reeds gepatchte WhatApp bug hoefde je maar een nummer te bellen via WhatsApp.
Een QR code scannen kan ook al gevaarlijk zijn.
Totdat er weer een rouge app toch die data steelt.
Het is veel veiliger om bij Google weg te blijven.
Rouge apps zat. Mobile Vulnerability Database App installeren en je schrikt. 50-100 exploits op je telefoon na alle updates. Zeker bij de vendor specifieke roms die je bij providers krijgt en waar je niet vanaf kan.
Je mobiel hoeft niets naar Google te sturen. Via een app of een bug in een protocol (Bluetooth suite?) zijn al zo vaak telefoons gepowned. Met de reeds gepatchte WhatApp bug hoefde je maar een nummer te bellen via WhatsApp.
Een QR code scannen kan ook al gevaarlijk zijn.
Dat klopt, bugs die bij user fout tot data verlies kunnen leiden maar een telefoon echt "pownen" geloof ik niet. Tegenwoordig heb je voor een iPhone te jailbreaken al 9 exploits nodig. Nu zal dat misschien bij Android ongeveer hetzelfde zijn..
Je kan altijd middels bugs in de apps dingen die normaal niet gaan maar je kunt nog steeds niet uit die virtual machine ontsnappen en de telefoon rooten.. Gaat gewoon niet zo makkelijk als je denkt, probeer het maar eens wil het anders wel zien als het zo makkelijk is ;)
Adware, spyware en dergelijke rommel zit in gebakken in de rom, of deze als root draaien, soms wel maar vaak niet en is het gewoon een system service application die je niet ziet en op de achtergrond "analytics" + wat extra's terug naar huis verzend. Heb zelfs al een Xiaomi telefoon gehad die gewoon met een XMPP server verbinding maakte, dus het was gewoon een bot net zoals je vroeger IRC bots had, zijn dat tegenwoordig XMPP bots.
Iedere Android telefoon van een leverancier die Google services erop heeft is onveilig, zo eenvoudig is het.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
