Door middel van een aangepast smart lock is het mogelijk om vingerafdrukken te stelen om zo toegang tot beter beveiligde systemen en accounts te krijgen. Ook het oprapen van een op het eerste gezicht onschuldig lijkend apparaatje maakt diefstal van biometrische data mogelijk, zo blijkt uit onderzoek. Volgens onderzoeker Steve Kerrison van de James Cook University uit Singapore worden vingerafdrukken steeds vaker als authenticatiefactor gebruikt (pdf).
In het verleden is er geregeld aandacht geweest voor het omzeilen van de vingerafdruksensor van bijvoorbeeld smartphones. Minder aandacht heeft het gebruik van dergelijke sensoren gekregen voor het stelen van vingerafdrukken. Dit komt volgens Kerrison voornamelijk doordat de sensoren en verwerking van vingerafdrukken binnen een beveiligde omgeving plaatsvindt en het niet eenvoudig is om een vingerafdrukafbeelding daaruit te stelen.
Steeds vaker beschikken goedkope IoT-apparaten, zoals smart locks, over vingerafdruksensoren. Deze apparaten hebben minder krachtige processors, goedkopere sensoren en bieden niet dezelfde beveiliging als een smartphone. Een aanvaller zou via het minder beveiligde IoT-apparaat een vingerafdrukafbeelding kunnen stelen om daarmee toegang tot een ander apparaat of account te krijgen. Kerrison noemt dit de "droplock" aanval.
Om de vingerafdruk van iemand te stelen stelt hij twee scenario's voor. Het eerste scenario betreft een apparaat voorzien van een vingerafdrukscanner, die zodra opgepakt, de vingerafdruk van het nietsvermoedende individu scant en doorstuurt. Voor het tweede scenario richt de onderzoeker zich op smart locks met een vingerafdruksensor, aangezien mensen hierbij gewend zijn hun vinger te laten scannen.
Het lukte de onderzoeker om door middel van een debug-interface de firmware van een niet nader genoemd smart lock te overschrijven. Zo is het mogelijk om vingerafdrukken te scannen en via bluetooth naar een apparaat of aanvaller in de buurt te sturen. Volgens Kerrison speelt het probleem vermoedelijk bij meer fabrikanten, aangezien het herprogrammeren tot nu toe niet als een veiligheidsprobleem is beschouwd, zo laat hij weten.
Om dergelijke aanvallen te voorkomen adviseert de onderzoeker het uitschakelen van debug-interfaces en alleen toestaan van gesigneerde firmware-updates. Ook moeten eindgebruikers meer alert zijn op malafide IoT-apparaten. Kerrison zal zijn onderzoek tijdens de IEEE International Conference on Internet of Things presenteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.