Onderzoeker demonstreert diefstal van vingerafdrukken via aangepast smart lock
Door middel van een aangepast smart lock is het mogelijk om vingerafdrukken te stelen om zo toegang tot beter beveiligde systemen en accounts te krijgen. Ook het oprapen van een op het eerste gezicht onschuldig lijkend apparaatje maakt diefstal van biometrische data mogelijk, zo blijkt uit onderzoek. Volgens onderzoeker Steve Kerrison van de James Cook University uit Singapore worden vingerafdrukken steeds vaker als authenticatiefactor gebruikt (pdf).
In het verleden is er geregeld aandacht geweest voor het omzeilen van de vingerafdruksensor van bijvoorbeeld smartphones. Minder aandacht heeft het gebruik van dergelijke sensoren gekregen voor het stelen van vingerafdrukken. Dit komt volgens Kerrison voornamelijk doordat de sensoren en verwerking van vingerafdrukken binnen een beveiligde omgeving plaatsvindt en het niet eenvoudig is om een vingerafdrukafbeelding daaruit te stelen.
Steeds vaker beschikken goedkope IoT-apparaten, zoals smart locks, over vingerafdruksensoren. Deze apparaten hebben minder krachtige processors, goedkopere sensoren en bieden niet dezelfde beveiliging als een smartphone. Een aanvaller zou via het minder beveiligde IoT-apparaat een vingerafdrukafbeelding kunnen stelen om daarmee toegang tot een ander apparaat of account te krijgen. Kerrison noemt dit de "droplock" aanval.
Om de vingerafdruk van iemand te stelen stelt hij twee scenario's voor. Het eerste scenario betreft een apparaat voorzien van een vingerafdrukscanner, die zodra opgepakt, de vingerafdruk van het nietsvermoedende individu scant en doorstuurt. Voor het tweede scenario richt de onderzoeker zich op smart locks met een vingerafdruksensor, aangezien mensen hierbij gewend zijn hun vinger te laten scannen.
Het lukte de onderzoeker om door middel van een debug-interface de firmware van een niet nader genoemd smart lock te overschrijven. Zo is het mogelijk om vingerafdrukken te scannen en via bluetooth naar een apparaat of aanvaller in de buurt te sturen. Volgens Kerrison speelt het probleem vermoedelijk bij meer fabrikanten, aangezien het herprogrammeren tot nu toe niet als een veiligheidsprobleem is beschouwd, zo laat hij weten.
Om dergelijke aanvallen te voorkomen adviseert de onderzoeker het uitschakelen van debug-interfaces en alleen toestaan van gesigneerde firmware-updates. Ook moeten eindgebruikers meer alert zijn op malafide IoT-apparaten. Kerrison zal zijn onderzoek tijdens de IEEE International Conference on Internet of Things presenteren.
Wie volgt.
En als je biometrie gestolen is (en misbruikt wordt), gaan de bedrijven of overheid je dan nieuwe biometrie geven?
En geen woord over de vraag of je de gelifte vingerprint (in welke vorm?) ook echt kan inzetten op een ander device.
.... staat ergens een plaatje van twee legers die elkaar op een slagveld bevechten. Behalve twee grote massa's infanteristen die tegenover elkaar staan, zie je ook een soort vreemde wagentjes met ladders erop. Op de bovenste trede van elk laddertje staat iemand met (geloof ik) een knots. Terwijl de infanteristen elkaar op de grond bevechten, gaan de soldaten bovenop de laddertjes elkaar vijf meter hoger met die knotsen te lijf. Het blijft volkomen onduidelijk wat de militaire meerwaarde is van de bizarre ladderwagentjes. Het lijkt erop dat omdat het ene leger dergelijke wagentjes inzet, het andere leger van zichzelf vindt dat het dat ook moet doen, en omgekeerd.
Hieraan doet mij de wedren met steeds nieuwe digitale beveilgingsfoefjes denken. Nu weer digitale vingerafdruklezers.
Telkens wordt weer een nieuw informatie-item ingezet om zogenaamd zaken te beveiligen en af te sluiten voor iedereen die er geen toegang toe mag krijgen. Maar uiteindelijk vergroot elk extra middel juist de onveiligheid. Want de vijand bedenkt er iets op, en hoe meer de "checks" worden geformaliseerd en gecompliceerd, hoe meer mogelijkheden er ontstaan om ze te omzeilen.
De les die hieruit valt te leren, is dat dergelijke beveiligingsmethoden een doodlopende weg vormen. Het enige wat niet of minder goed te vervalsen of te stelen valt, is authentiek contact tussen mensen die elkaar gaan vertrouwen doordat ze bepaalde dingen in elkaar herkennen en in elkaar leren kennen.
Vroeger als je naar je lokale bank ging, dan was allerlei controle niet nodig omdat de medewerker van de lokale bank jou kende en omdat jij de medewerker kende.
Maar goed, de digi-fanaten zullen nog wel even doorgaan met het bouwen van steeds hogere ladderwagentjes. NAW-gegevens, geboortedatum, BSN-nummer, pincode, 2FA, vingerafdruk, irisscan, DNA... Terwijl de digitale "beveiligers" zich steeds verder loszingen van datgene wat aan gewone mensen werkelijk veiligheid kan bieden, zullen gewone mensen ondertussen andere oplossingen gaan zoeken om een menswaardig leven te kunnen blijven leiden. Informele oplossingen waarbij menselijk contact, oprecht vertrouwen en werkelijke betrouwbaarheid centraal zullen staan.
M.J.
Zouden Frau Van der Leyen, Klaus Schwab en Timmermans hier ook kennis van nemen icm hun digitale plannen??
Daarom moeten wij goed nadenken of wij wel in een dergelijk monitoring- en surveillance panopticum opgesloten willen worden/raken.
Onze politici hebben kennijk al hiervoor moeten kiezen/tekenen. Een aankomende herhaling van een soort 'hongerwinter' zal bij velen misschien de ogen openen, als het dan niet al niet te laat is om dit digitale panopticum te ontmantelen. Ik zie het somber in omdat uit de volksmassa nooit enige verandering is voortgekomen, anders dan als deze maçonniek werd gestuurd/aangezet.
Vara en PvdA zijn ook in eerste aanleg maçonniek opgezette projecten geweest, alhoewel veel mensen dit noch weten noch beseffen.
#obserwator
Maar waarom is die firmware zo slecht beveiligd dat je die ongeautoriseerd kunt wijzigen/updaten?
De aanvalstechniek is wel leuk.
Hack een slecht beveiligd (IoT) apparaat. Krijg toegang tot de biometrie. Gebruik die data vervolgens om toegang tot beter beveiligde apparaten te krijgen.
Zoals gewoonlijk: De ketting is zo sterk als de zwakste schakel.
En als ze je biometrie eenmaal verkregen hebben ... ...
Was er niet een advies om niet overal hetzelfde wachtwoord te hergebruiken.
Waarom biometrie dan wel?
En als ze je biometrie eenmaal verkregen hebben ... ...
Was er niet een advies om niet overal hetzelfde wachtwoord te hergebruiken.
Waarom biometrie dan wel?
Omdat veiligheid niet het echte doel is. Het echte doel is om data in handen te krijgen, ook als dat ten koste gaat van veiligheid. Vervolgens (tweede prioriteit) gaat men dan nog eens nadenken over mogelijkheden om de schade en risico's te beperken of althans minder zichtbaar te maken.
M.J.
Daarom moeten wij goed nadenken of wij wel in een dergelijk monitoring- en surveillance panopticum opgesloten willen worden/raken.
Onze politici hebben kennijk al hiervoor moeten kiezen/tekenen. Een aankomende herhaling van een soort 'hongerwinter' zal bij velen misschien de ogen openen, als het dan niet al niet te laat is om dit digitale panopticum te ontmantelen. Ik zie het somber in omdat uit de volksmassa nooit enige verandering is voortgekomen, anders dan als deze maçonniek werd gestuurd/aangezet.
Vara en PvdA zijn ook in eerste aanleg maçonniek opgezette projecten geweest, alhoewel veel mensen dit noch weten noch beseffen.
#obserwator
Dat zijn we toch al? Moest jij geen vingerafdruk op je ID kaart? Moet jij niet steeds vaker alles digitaal betalen? Merk jij dat je in je slaapkamer al een camera en microfoon hebt in je mobieltje? Rond de millenium wisseling was er sprake van mensen die nee zeiden. Zou niet gebeuren.
Nu betalen mensen graag om de nieuwste hitech spyware in de slaapkamer te hebben.
Je oude biometrie kan uiteraard vernietigd worden.
Je moet zelf maar nieuwe regelen, bijvoorbeeld opnieuw geboren worden, hoe je dat regelt, tja dat is natuurlijk jouw probleem, niet dat van de overheid.
Daarom moeten wij goed nadenken of wij wel in een dergelijk monitoring- en surveillance panopticum opgesloten willen worden/raken.
Onze politici hebben kennijk al hiervoor moeten kiezen/tekenen. Een aankomende herhaling van een soort 'hongerwinter' zal bij velen misschien de ogen openen, als het dan niet al niet te laat is om dit digitale panopticum te ontmantelen. Ik zie het somber in omdat uit de volksmassa nooit enige verandering is voortgekomen, anders dan als deze maçonniek werd gestuurd/aangezet.
Vara en PvdA zijn ook in eerste aanleg maçonniek opgezette projecten geweest, alhoewel veel mensen dit noch weten noch beseffen.
#obserwator
Dat zijn we toch al? Moest jij geen vingerafdruk op je ID kaart? Moet jij niet steeds vaker alles digitaal betalen? Merk jij dat je in je slaapkamer al een camera en microfoon hebt in je mobieltje? Rond de millenium wisseling was er sprake van mensen die nee zeiden. Zou niet gebeuren.
Nu betalen mensen graag om de nieuwste hitech spyware in de slaapkamer te hebben.
Er moest een vingerafdruk op mijn ID-kaart maar het lukte niet om mijn vingerafdruk te scannen dus er is geen vingerafdruk van mij geregistreerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
