Vingerafdrukscanners van smartphones, tablets en MacBooks zijn met nagemaakte vingerafdrukken te omzeilen, zo hebben onderzoekers van Cisco aangetoond. Gebruikers die gevoelige informatie op hun toestel hebben staan of denken het doelwit van een goed gefinancierde aanvaller te zijn krijgen dan ook het advies om in plaats van een vingerafdruk een sterk wachtwoord en tweefactorauthenticatie via een token te gebruiken.
Voor het onderzoek wilden de onderzoekers kijken of een doorsnee persoon met een 3d-printer en bijvoorbeeld een vingerafdruk op een glas een vingerafdruk kan namaken waarmee systemen zijn te ontgrendelen. Volgens de onderzoekers zorgen 3d-printers ervoor dat iedereen met de juiste middelen op grote schaal nepvingerafdrukken kan maken. De nagemaakte vingerafdrukken werden getest op smartphones, laptops, een slot en usb-sticks. Uiteindelijk haalden de onderzoekers een succesratio van tachtig procent, hoewel er grote verschillen in de geteste apparaten zijn.
Vingerafdrukauthenticatie is in twee stappen te verdelen. De eerste stap is het opslaan van de vingerafdruk, waarbij de scanner een afbeelding van de vingerafdruk genereert. De tweede stap is het analyseren en vergelijken van de gegenereerde afbeeldingen. Dit kan door de vingerafdrukscanner of het besturingssysteem worden gedaan. De onderzoekers merken op dat het algoritme dat de vingerafdrukken vergelijkt een bepaalde marge moet hanteren. Wanneer de vingerafdruk iets is veranderd, bijvoorbeeld door een sneetje in de vinger, moet de gebruiker nog steeds zijn toestel kunnen ontgrendelen. Zowel in de eerste als tweede stap zitten kwetsbaarheden, aldus de onderzoekers.
De geteste apparaten bleken drie soorten vingerafdrukscanners te gebruiken, capacitief, optisch en ultrasoon, die elk verschillend op gebruikte materialen en verzameltechnieken reageerden. Voor het verzamelen van de vingerafdrukken werd gebruik gemaakt van drie manieren: direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is, via een vingerafdruksensor en als laatste een object, zoals een glas of foto van de vingerafdruk. Vervolgens werd er met verschillende materiaalsoorten een vingerafdruk nagemaakt.
De nepvingerafdrukken bleken goed te werken tegen de iPad, iPhone 8, Samsung S10, Samsung Note 9, Huawei P30 Lite, Honor 7X, een slot van Aicase en een Macbook Pro 2018. Het lukte de onderzoekers niet om de Windowslaptops en usb-sticks met de nepvingerafdrukken te ontgrendelen. De onderzoekers merken op dat fabrikanten er verstandig aan doen om het aantal inlogpogingen te beperken. Zo vraagt Apple na vijf mislukte pogingen om de pincode. Bij Samsung konden de onderzoekers vijftig keer proberen in te loggen en bij de Honor zelfs een onbeperkt aantal keer.
"Onze resultaten laten duidelijk zien dat vingerafdruktechnologie niet voldoende is geëvolueerd om voor alle voorgestelde dreigingsmodellen als veilig te worden beschouwd", aldus de onderzoekers. Voor "high-profile" gebruikers of mensen die gevoelige informatie op hun toestel hebben staan raden ze het gebruik van de vingerafdrukscanner af. In plaats daarvan wordt een sterk wachtwoord en token tweefactorauthenticatie aangeraden.
Deze posting is gelocked. Reageren is niet meer mogelijk.