Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Android vingerafdruk: BrutePrint

09-06-2023, 00:31 door Erik van Straten, 12 reacties
Laatst bijgewerkt: 09-06-2023, 00:33
Tenzij ik niet goed gekeken heb, is er op security.nl nog niets geschreven over de -fysieke- Bruteprint aanval op vingerafdrukscanners in smartphones.

Wetenschappelijke publicatie
Op 18 mei j.l. hebben Yu Chen en Yiling He een artikel gepubliceerd (https://arxiv.org/abs/2305.10791) getiteld:

BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack.

Voor zover ik weet is dit onderzoek nog niet "peer-reviewed" en/of door andere onderzoekers gereproduceerd.

De auteurs schrijven dat door enkele kwetsbaarheden (waarvan 1 in hardware, 2 in software) in een aantal (mogelijk alle?) Android en HarmonyOS (van Huawei) smartphones te combineren, een aanvaller die zo'n smartphone fysiek in handen krijgt, een correcte vingerafdruk kan simuleren om daarmee het scherm te ontgrendelen, maar ook bijv. Paypal betalingen te doen.

Ik ga ervan uit dat op deze manier ook Passkeys (zie https://security.nl/posting/798797) ontsloten kunnen worden.

Geteste toestellen
Opvallend is dat vooral oudere toestellen (die nog wel in omloop kunnen zijn) met oudere versies van besturingssytemen zijn getest. Ik kan op internet (nog) niet vinden of de software-bugs ondertussen zijn verholpen, en zo ja, in welke OS-versie. In de publicatie lees ik niet dat de auteurs Google, Apple en/of Huawei vóór publicatie hebben gewaarschuwd.

Smartphone OS
-----------------------------------
Xiaomi Mi 11 Ultra Android 11
Vivo X60 Pro Android 11
OnePlus 7 Pro Android 11
OPPO Reno Ace Android 10
Samsung Galaxy S10+ Android 9
OnePlus 5T Android 10

Huawei Mate30 Pro 5G HarmonyOS 2
Huawei P40 HarmonyOS 2

Apple iPhone SE iOS 14.5.1
Apple iPhone 7 iOS 14.5.1

Werking aanval (vereenvoudigd)
Voor de aanval moet de smartphone worden geopend en wordt een elektronische schakeling met enkele draadjes in de telefoon aangesloten (gesoldeerd). De auteurs schrijven: "The total cost of the equipment is around 15 dollars". Tijdens de aanval vervangt die schakeling de echte vingerafdrukscanner (die is aangesloten via een SPI-bus).

Gebruikelijk is dat smartphones, na een beperkt aantal keren een vingerafdruk niet te hebben herkend, een PINcode (of wachtwoord) vereisen om het scherm te ontgendelen. In de geteste Android en HarmonyOS versies (op de non-Apple devices dus) blijken echter 1 of 2 bugs te zitten waardoor, met een truc, een groot of zelfs oneindig aantal pogingen gedaan kan worden.

iPhones
De geteste Apple devices lijken in de praktijk niet kwetsbaar: hoewel het de auteurs lukt om het aantal mislukte pogingen van standaard 5 naar 15 op te schroeven, zal dat zelden voldoende zijn voor een brute-force attack. Ook bij Apple communiceert de vingerafdrukscanner via een SPI-bus, maar in tegenstelling tot bij de non-Apple toestellen is hier het verkeer over die bus versleuteld (dat betekent niet gegarandeerd veiligheid, want de sleutel(s) daarvoor zitten natuurlijk ergens "ingebakken" - maar dat betekent wel een extra hindernis voor aanvallers).

Dictionary attack
Echt brute-force is de aanval overigens niet: de auteurs maken gebruik van een dictionary (database) met bekende vingerafdrukken. Een uitdaging voor hen was dat er verschillende soorten scanners worden gebruikt (die, voor dezelfde vingerafdruk, verschillende bitmaps opleveren). Daarvoor moesten ze dus, per soort vingerafdrukscanner, een conversieslag uitvoeren.

Gezichtsherkenning
De auteurs verwachten vergelijkbare risico's bij andere biometrische authenticatie, zoals gezichtsherkenning.

Redundante vingers?
Interessant om te lezen (maar bij deze aanval logisch) vond ik, uit de publicatie:
In the most difficult case where the victim smartphone has only one fingerprint enrolled, the expected values of the success time fall in a range of 2.9~13.9 hours. [...] Under the situation where the victim enrolls the maximum number of fingerprints, the speed is greatly increased and the expected time ranges from 0.66 to 2.78 hours.
Het kan dus verstandig zijn om niet al uw vingers (en tenen, of wie weet wat) in te scannen. Persoonlijk gebruik ik mijn pink (svp niet verder vertellen dat ik dat doe ;-) omdat ik daar de minste vingerafdrukken van achterlaat op o.a. het scherm, en de kans op wondjes relatief klein is.

Dilemma: PIN, wachtwoord of biometrie?
In https://youtu.be/QUYODQB_2wQ en https://youtu.be/tCfb9Wizq9Q laat journaliste Joanna Stern van de WSJ (Wall Street Journal) zien wat de impact kan zijn als jouw PINcode (of veegpatroon of evt. wachtwoord) om het scherm te ontgrendelen wordt afgekeken en vervolgens jouw iPhone wordt gestolen (ik betwijfel of dit bij Android veel rooskleuriger is). Zo'n dief blijkt dan in no time op jouw iCloud-account te kunnen inloggen. Om meteen daarna jouw gegevens zo te wijzigen dat je er nooit meer in komt (weg vakantiefoto's). Bovendien worden er, zo mogelijk, leningen op jouw naam afgesloten, bankrekeningen geplunderd en jouw identiteit misbruikt.

Dus is er veel voor te zeggen om juist biometrie te gebruiken voor schermontgendeling (om afkijken, bijv. in het OV, te voorkómen). Bovendien kost een vingerafdruk aanbieden veel minder tijd dan een alfanumeriek wachtwoord van bijv. 8 karakters intikken (op een mini-toetsenbordje).

Wachtwoordmanager en 2FA
Een eventuele Android wachtwoordmanager die ook via een vingerafdruk ontgrendeld wordt (ik ben met KeepassDX aan het experimenteren en heb dat nog zo geconfigureerd staan) is natuurlijk ook kwetsbaar - indien de laatste Android 13 update voor mijn Pixel 6 Pro nog geen fix heeft tegen BrutePrint. Eventuele TOTP-apps op hetzelfde apparaat helpen dan ook niet.
Reacties (12)
09-06-2023, 09:02 door Anoniem
De filmpjes van Joanna Stern laten heel goed zien hoe ernstig het mis kan gaan als je hele hebben en houden in één cloudplatform wordt ondergebracht, én door hoeveel hoepels je moet springen om zwakke punten van zo'n platform via instellingen minder schadelijk te maken.

Maar het grootste risico is misschien wel dat je hele hebben en houden toegankelijk is vanaf een apparaat dat je voortdurend bij je hebt. De pincode kan makkelijk afgekeken worden, het apparaat kan makkelijk gestolen worden, de bescherming met een vingerafdruk is bij sommige apparaten kennelijk te doorbreken door een aanvaller die er genoeg moeite voor wil doen. Dat zo'n kleine tabletcomputer (want dat is een smartphone) niet goed in broekzakken past werkt in de hand dat mensen die dingen in horecagelegenheden naast zich op een tafeltje leggen, waar ze makkelijk weg te grissen zijn.

Het is domweg geen goed idee om volledige toegang tot je bankzaken, DigiD, vertrouwelijke documenten etc. overal met je mee te dragen op een apparaat dat je ook in het openbaar gebruikt, veelvuldig zelfs. Het is goed om een scheiding te maken tussen wat je onderweg nodig kan hebben en wat je juist niet overal met je mee wilt slepen omdat het erg is als er iets mee gebeurt.

Bij bedrijven die er helemaal op gericht zijn om al jouw data in hun cloud te krijgen en die hun software ontwerpen alsof dat een totale vanzelfsprekendheid is moet je tegen de stroom in zwemmen om dergelijke scheidingen aan te brengen. Dat ze de indruk wekken dat alles moeiteloos vanzelf goed gaat bevordert niet dat mensen nadenken over de risico's en doordachte keuzes maken.
09-06-2023, 09:26 door Anoniem
Ik lees hier wel eens reacties over de onzin van hacken als je fysiek bij een apparaat moet komen, jij bewijst
hier waarom dit wel degelijk gevaarlijk is, denk bijvoorbeeld aan diefstal van je smartphone en de gevolgen.
11-06-2023, 09:49 door waterlelie
Vingerafdrukbeveiliging, hoe gebruiksvriendelijk werkt dat eigenlijk, mislukt het wel eens, met als gevolg stress bijvoorbeeld. Gewoon een pincode van 5 cijfers is toch veel betrouwbaarder, of helemaal geen beveiliging.

Als je niet wilt dat persoonlijke gegevens in handen van derden valt als je smartphone wordt gestolen, of verloren, zet dan gewoon niet al je persoonlijke zaken op dezelfde smartphone. Omdat je voor nieuwe apps toch een Gmail account op je smartphone moet hebben, installeer gewoon een nieuw account, en laat die geheel leeg. Kwestie van een paar minuten. Probleem met Google Gmail account is namelijk dat je ook voor een bestaand account geen POP versie kan installeren op je smartphone, dat laat Google niet toe. Reden is duidelijk Google wil zoveel mogelijk informatie van jou hebben, en als je die overal op toegankelijk maakt dan is dat makkelijker oogsten voor Google.

Ik zou bijna zeggen houd gewoon eens op met die beveiligingsmanie, want het overgrote deel van de gebruikers snapt er helemaal niets van, inclusief mijzelf.
11-06-2023, 14:33 door Anoniem
Biometrische gegevens zijn totaal ongeschikt voor authenticatie.
11-06-2023, 19:00 door Anoniem
Mijn telefoon zit altijd in mijn broekzak of hij ligt, als ik slaap, naast mijn hoofdkussen. De kans dat iemand mijn telefoon in handen krijgt is zeer klein dus ik maak me totaal geen zorgen.
12-06-2023, 16:14 door Erik van Straten
Dank voor alle reacties!

11-06-2023, 09:49 door waterlelie: Vingerafdrukbeveiliging, hoe gebruiksvriendelijk werkt dat eigenlijk, mislukt het wel eens, met als gevolg stress bijvoorbeeld. Gewoon een pincode van 5 cijfers is toch veel betrouwbaarder, of helemaal geen beveiliging.
Zo te zien heb je het nog nooit geprobeerd. Juist omdat biometrische authenticatie niet altijd betrouwbaar werkt, is het -vziw- altijd een alternatief voor een PINcode of wachtwoord.

Beide methodes zijn het beste vergelijkbaar qua "veiligheid" (totale risico op ongeautoriseerde toegang). Eén van de twee mag veel sterker zijn, maar veel zin heeft dat dan meestal niet.

Ik gebruik de vingerafdrukscanner op mijn smartphones omdat ik een relatief lang wachtwoord heb ingesteld voor schermontgrendeling, en ik het teveel gedoe vind als ik dat wachtwoord élke keer moet invoeren om een scherm te ontgrendelen, laat staan een wachtwoord of een passkey (voor een extern account) vrij te geven. Af en toe moet ik (van iOS en Android, sowieso altijd na (re)boot) dat wachtwoord gebruiken, om te voorkómen dat ik het vergeet. Zo'n moment komt altijd ongelegen, maar het is m.i. wel het beste zo.

Een belangrijke reden voor mij om een relatief lang wachtwoord voor schermvergrendeling te gebruiken is dat ik niet precies weet waar die "code" allemaal nog meer voor wordt gebruikt. Bijvoorbeeld Google schrijft in https://support.google.com/accounts/answer/11350823?hl=en , onder Losing access to your data (overigens met een zeer verwarrende Nederlandse vertaling, te zien door "en" op het einde van de URL te vervangen door "nl"), dat je jouw (in Android opgeslagen) wachtwoorden en passkeys zou kunnen recoveren door uitsluitend jouw "Screen lock on Android, if you added one" te kunnen reproduceren. Niet vermeld wordt of je daarvoor tevens nog het (voor jou toegankelijke) device in bezit moet hebben (waar die unlock screen code voor geldt) om die code te kunnen gebruiken.

Zo niet: zonder een onwerkbaar trage KDF is een PINcode nooit sterk genoeg om een versleuteld bestand (dat zichzelf niet kan verdedigen met account-lock-outs) te beschermen. Overigens, als je een sync-passphrase gebruikt en jouw Android smartphone gestolen, irreparabel defect raakt of gereset is (dat laatste is, naar verluidt, nodig na 5 foute pogingen: https://support.google.com/android/answer/7663172?hl=en), zul je die natuurlijk ook moeten kunnen reproduceren.

Het kan aan mij liggen, maar ik vind de door Google gepubliceerde hulppagina's extreem onduidelijk. Zo kom ik op een aantal plaatsen "sign in to Chrome" tegen. Ik heb nog nooit meegemaakt dat ik op een browser zelf moest inloggen.

11-06-2023, 09:49 door waterlelie: Als je niet wilt dat persoonlijke gegevens in handen van derden valt als je smartphone wordt gestolen, of verloren, zet dan gewoon niet al je persoonlijke zaken op dezelfde smartphone.
En uit de eerste reactie in deze pagina:
09-06-2023, 09:02 door Anoniem: Het is domweg geen goed idee om volledige toegang tot je bankzaken, DigiD, vertrouwelijke documenten etc. overal met je mee te dragen op een apparaat dat je ook in het openbaar gebruikt, veelvuldig zelfs.
Feit is dat een overgrote meerderheid van de Nederlanders dit wél doet, daartoe aangemoedigd (of zelfs gedwongen) door Big Tech, de Nederlandse Overheid, familie, vrienden en collega's.

We kunnen twee dingen doen:
1) Afraden om smartphones voor o.a. geldzaken te gebruiken;
2) Uitzoeken hoe dit zo veilig mogelijk kan en dat, zo objectief mogelijk, adviseren.

11-06-2023, 09:49 door waterlelie: Ik zou bijna zeggen houd gewoon eens op met die beveiligingsmanie, want het overgrote deel van de gebruikers snapt er helemaal niets van, inclusief mijzelf.
Die oproep begrijp ik niet; in januari schreef je zelf nog dat je een Yubikey gebruik(te) (https://security.nl/posting/780197). Ook met het oog op de andere topics die je bent gestart (https://security.nl/profile?alias=waterlelie) snap ik dit niet. Bovenal zie ik niet wat er zo onduidelijk is aan mijn topic. Heb je de WSJ filmpjes bekeken?

Er zijn steeds duurdere smartphones in gebruik en/of mensen zetten steeds meer lucratieve gegevens (voor criminelen) op hun toestellen. Om wat aan een gestolen smartphone zélf te hebben, zál een dief het bijbehorende cloudaccount moeten overnemen - om "Find my device" e.d. te kunnen uitschakelen en aan de fabrikant te kunnen "bewijzen" dat die dief de rechtmatige eigenaar is, en in andere gevallen om een "remote wipe/erase" te voorkómen. En als een dief die toegang tot het cloud-account eenmaal heeft (wat vaak onmiddelijk het geval is zodra die dief het scherm heeft weten te ontgrendelen), is het helemaal een koud kunstje om aanvullende identiteitsfraude te plegen.

11-06-2023, 14:33 door Anoniem: Biometrische gegevens zijn totaal ongeschikt voor authenticatie.
Waarom niet? En welk alternatief is dan "beter", en onder welke omstandigheden alsnog geen goed idee?
12-06-2023, 21:27 door Anoniem
Door Erik van Straten:
Er zijn steeds duurdere smartphones in gebruik en/of mensen zetten steeds meer lucratieve gegevens (voor criminelen) op hun toestellen. Om wat aan een gestolen smartphone zélf te hebben, zál een dief het bijbehorende cloudaccount moeten overnemen - om "Find my device" e.d. te kunnen uitschakelen en aan de fabrikant te kunnen "bewijzen" dat die dief de rechtmatige eigenaar is, en in andere gevallen om een "remote wipe/erase" te voorkómen.

Het is tegenwoordig _erg_ lastig geworden om een device uberhaupt te kunnen (her)gebruiken zonder toegang tot het bijbehorende cloud account.

Ook met een 'factory reset' blijft het apparaat bij start vragen om de cloud toegang van degene die het device geinstalleerd heeft , en zonder dat is het feitelijk een (dure) brick .
Sommige Androids zijn met fors veel moeite nog wel te 'hacken' hieruit, maar het "gewoon jatten voor de waarde van het toestel" is niet zo zinvol meer.


En als een dief die toegang tot het cloud-account eenmaal heeft (wat vaak onmiddelijk het geval is zodra die dief het scherm heeft weten te ontgrendelen), is het helemaal een koud kunstje om aanvullende identiteitsfraude te plegen.

Dat wordt hier wel vaak verzonnen op het forum als 'groot risico' , maar ik ben toch wel benieuwd naar cijfers van identiteitsfraude gepleegd door het stelen van toestellen en die ook nog met behoorlijke moeite hacken .
13-06-2023, 10:04 door Erik van Straten - Bijgewerkt: 13-06-2023, 10:13
Door Anoniem: Dat wordt hier wel vaak verzonnen op het forum als 'groot risico' [...]
Ik verzin niks. Heb je de filmpjes van Joanna Stern bekeken?

Wellicht omdat er veel mensen zijn die biometrie niet vertrouwen (op een deel van de toestellen waarschijnlijk terecht) zie ik veel mensen veegpatronen of korte PINcodes gebruiken. En juist die kun je vaak eenvoudig afkijken. Een dief die dat kan nabootsen kan het scherm ontgrendelen, heeft toegang tot e-mail, foto's (soms van identiteitsbewijs), wachtwoordmanager en ga zo maar door. Niks "met behoorlijke moeite hacken".

Het "niet afkijkbare" alternatief voor een PINcode is biometrische authenticatie. Wellicht lukt het om een ontgrendeld toestel te stelen, maar dan beschik je niet over iets dat je steeds opnieuw kunt gebruiken (wat wel kan met een afgekeken PINcode).

Zoals ik eerder schreef: ik weet niet of de door de onderzoekers beschreven hardware-aanval op de vingerafdrukscanner in Android smartphones nog werkt in actuele Android-versies. Maar als dat nog werkt, vind ik de beschreven aanval geen "behoorlijke moeite" - gezien wat een crimineel aan zo'n hack over kan houden.

Als je comfort en zo goed mogelijke beveiliging voor een smartphone of tablet wilt, was mijn advies: koop alleen die toestellen waarop biometrische authenticatie betrouwbaar werkt. Kies vervolgens een wachtwoord of lange PINcode (die niet in een paar pogingen geraden kan worden - dus niet je postcode of geboortejaar) en gebruik zo vaak mogelijk biometrie.

Voor toestellen van Apple verandert mijn advies niet, maar voor Android devices werd ik door de bovenaan genoemde publicatie aan het twijfelen gebracht.

Aanvulling 10:13: ik kan me voorstellen dat de smartphone-reparateur op de hoek (meestal tevens hoejesverkoper) zo'n unlock-schakeling aan diens gereedschappen toevoegt. De vraag is dan of en hoe goed die reparateur controleert of iemand met een unlock-verzoek daadwerkelijk de eigenaar is van de betreffende smartphone, of een dief.
13-06-2023, 12:13 door majortom
Door Erik van Straten:
Als je comfort en zo goed mogelijke beveiliging voor een smartphone of tablet wilt, was mijn advies: koop alleen die toestellen waarop biometrische authenticatie betrouwbaar werkt. Kies vervolgens een wachtwoord of lange PINcode (die niet in een paar pogingen geraden kan worden - dus niet je postcode of geboortejaar) en gebruik zo vaak mogelijk biometrie.
Dan moet je wel vertrouwen hebben in de implementatie van deze biometrische authenticatie. Niets zegt mij dat dit ten allen tijde (ook in de toekomst) op het toestel zelf plaatsvindt en niet ook wordt gelekt naar een centrale instantie. En eenmaal gecompromitteerd, betekent voor eeuwig gecompromitteerd met dit soort methodes. Verder kun je bij iemand biometrische authenticatie afdwingen, wat bij een andere methode wat minder vanzelfsprekend is.

Ik hou het daarom bij een lange PIN. Aangezien ik de smartfoon vooral als telefoon gebruik en niet voor zaken als bankieren e.d. valt het risico denk ik nog wel mee. En op mijn KeePass die ook op mijn telefoon staat zit een separaat wachtwoord, evenals op mijn TOTP aujthenticatie applicatie. En foto's maak ik er niet mee, gebruik geen cloud diensten, dus zoveel heeft een eventuele dief, die ook de PIN weet te ontgrendelen binnen het aantal mogelijke pogingen (waarbij deze niet de lengte van de PIN weet), niet aan de gegevens die op de telefoon staan. Het enige zal email kunnen zijn (maar alleen prive, niet zakelijk) dus is het zaak daarvan zsm de credentials aanpassen in zo'n geval.
13-06-2023, 15:11 door Anoniem
Door Erik van Straten:
Door Anoniem: Dat wordt hier wel vaak verzonnen op het forum als 'groot risico' [...]
Ik verzin niks. Heb je de filmpjes van Joanna Stern bekeken?

Ik zou graag statistiek zien, in plaats van "het kan technisch"

Er is hier een heel sterke neiging om iets wat technisch interessant en niet onmogelijk is ook meteen op te blazen tot "grote kans dat je dat overkomt" .
Dat geldt natuurlijk ook voor media.
Gevalletje 'als je alleen hamer hebt lijkt alles een spijker' - als je vooral techniek leuk vind zie je alleen technische risico's .
Het "groot risico" is waar ik bewijs voor wil zien .

Net zo goed als 'lockpicking' gewoon ontzettend laag scoort als "manier waarop werkelijk ingebroken wordt" , hoe knap/gaaf/mogelijjk/doenbaar het er ook uitziet.


Wellicht omdat er veel mensen zijn die biometrie niet vertrouwen (op een deel van de toestellen waarschijnlijk terecht) zie ik veel mensen veegpatronen of korte PINcodes gebruiken. En juist die kun je vaak eenvoudig afkijken. Een dief die dat kan nabootsen kan het scherm ontgrendelen, heeft toegang tot e-mail, foto's (soms van identiteitsbewijs), wachtwoordmanager en ga zo maar door. Niks "met behoorlijke moeite hacken".

Dat ben ik wel met je eens, maar we praten hier onder een artikel waarin met de nodige moeite een vingerafdruk sensor omzeild werd.

En hoe vaak/hoe veel die dieven nu een telefoon stelen nadat ze ook de pin/swipe afgekeken hadden zou ik graag cijfers van zien.


Het "niet afkijkbare" alternatief voor een PINcode is biometrische authenticatie. Wellicht lukt het om een ontgrendeld toestel te stelen, maar dan beschik je niet over iets dat je steeds opnieuw kunt gebruiken (wat wel kan met een afgekeken PINcode).

Zoals ik eerder schreef: ik weet niet of de door de onderzoekers beschreven hardware-aanval op de vingerafdrukscanner in Android smartphones nog werkt in actuele Android-versies. Maar als dat nog werkt, vind ik de beschreven aanval geen "behoorlijke moeite" - gezien wat een crimineel aan zo'n hack over kan houden.

Doe het eens (na), zo'n aanval. Ik weet dat al die papers popi-jopie roepen voor $25 (ofzo) aan onderdelen. Zelfs onder de posters hier (toch al een vrij selecte groep) het zijn er _zo_ weinig die als je ze $25 geeft het ook werkelijk nadoen .
"Zou technisch kunnen" is zo ver weg van "klauwhand crimineeltje doet het even"

En ik zou dus heel graag cijfers zien van werkelijk gepleegde fraudes OP DEZE MANIER , in plaats van speculatie dat "het technisch kan" , en dat wat er aan gegevens of data op een willekeurig mobieltje staat werkelijk zoveel _waarde_ heeft.

(ben je echt een gericht doelwit liggen de risico van _alles_ anders, en zeker ook die van je mobiele devices).


Als je comfort en zo goed mogelijke beveiliging voor een smartphone of tablet wilt, was mijn advies: koop alleen die toestellen waarop biometrische authenticatie betrouwbaar werkt. Kies vervolgens een wachtwoord of lange PINcode (die niet in een paar pogingen geraden kan worden - dus niet je postcode of geboortejaar) en gebruik zo vaak mogelijk biometrie.

Voor toestellen van Apple verandert mijn advies niet, maar voor Android devices werd ik door de bovenaan genoemde publicatie aan het twijfelen gebracht.

Aanvulling 10:13: ik kan me voorstellen dat de smartphone-reparateur op de hoek (meestal tevens hoejesverkoper) zo'n unlock-schakeling aan diens gereedschappen toevoegt. De vraag is dan of en hoe goed die reparateur controleert of iemand met een unlock-verzoek daadwerkelijk de eigenaar is van de betreffende smartphone, of een dief.
13-06-2023, 16:04 door waterlelie - Bijgewerkt: 13-06-2023, 16:05
Door Erik van Straten: Dank voor alle reacties!

11-06-2023, 09:49 door waterlelie: Vingerafdrukbeveiliging, hoe gebruiksvriendelijk werkt dat eigenlijk, mislukt het wel eens, met als gevolg stress bijvoorbeeld. Gewoon een pincode van 5 cijfers is toch veel betrouwbaarder, of helemaal geen beveiliging.
Zo te zien heb je het nog nooit geprobeerd. Juist omdat biometrische authenticatie niet altijd betrouwbaar werkt, is het -vziw- altijd een alternatief voor een PINcode of wachtwoord.

Beide methodes zijn het beste vergelijkbaar qua "veiligheid" (totale risico op ongeautoriseerde toegang). Eén van de twee mag veel sterker zijn, maar veel zin heeft dat dan meestal niet.

Ik gebruik de vingerafdrukscanner op mijn smartphones omdat ik een relatief lang wachtwoord heb ingesteld voor schermontgrendeling, en ik het teveel gedoe vind als ik dat wachtwoord élke keer moet invoeren om een scherm te ontgrendelen, laat staan een wachtwoord of een passkey (voor een extern account) vrij te geven. Af en toe moet ik (van iOS en Android, sowieso altijd na (re)boot) dat wachtwoord gebruiken, om te voorkómen dat ik het vergeet. Zo'n moment komt altijd ongelegen, maar het is m.i. wel het beste zo.

Een belangrijke reden voor mij om een relatief lang wachtwoord voor schermvergrendeling te gebruiken is dat ik niet precies weet waar die "code" allemaal nog meer voor wordt gebruikt. Bijvoorbeeld Google schrijft in https://support.google.com/accounts/answer/11350823?hl=en , onder Losing access to your data (overigens met een zeer verwarrende Nederlandse vertaling, te zien door "en" op het einde van de URL te vervangen door "nl"), dat je jouw (in Android opgeslagen) wachtwoorden en passkeys zou kunnen recoveren door uitsluitend jouw "Screen lock on Android, if you added one" te kunnen reproduceren. Niet vermeld wordt of je daarvoor tevens nog het (voor jou toegankelijke) device in bezit moet hebben (waar die unlock screen code voor geldt) om die code te kunnen gebruiken.

Zo niet: zonder een onwerkbaar trage KDF is een PINcode nooit sterk genoeg om een versleuteld bestand (dat zichzelf niet kan verdedigen met account-lock-outs) te beschermen. Overigens, als je een sync-passphrase gebruikt en jouw Android smartphone gestolen, irreparabel defect raakt of gereset is (dat laatste is, naar verluidt, nodig na 5 foute pogingen: https://support.google.com/android/answer/7663172?hl=en), zul je die natuurlijk ook moeten kunnen reproduceren.

Het kan aan mij liggen, maar ik vind de door Google gepubliceerde hulppagina's extreem onduidelijk. Zo kom ik op een aantal plaatsen "sign in to Chrome" tegen. Ik heb nog nooit meegemaakt dat ik op een browser zelf moest inloggen.

11-06-2023, 09:49 door waterlelie: Als je niet wilt dat persoonlijke gegevens in handen van derden valt als je smartphone wordt gestolen, of verloren, zet dan gewoon niet al je persoonlijke zaken op dezelfde smartphone.
En uit de eerste reactie in deze pagina:
09-06-2023, 09:02 door Anoniem: Het is domweg geen goed idee om volledige toegang tot je bankzaken, DigiD, vertrouwelijke documenten etc. overal met je mee te dragen op een apparaat dat je ook in het openbaar gebruikt, veelvuldig zelfs.
Feit is dat een overgrote meerderheid van de Nederlanders dit wél doet, daartoe aangemoedigd (of zelfs gedwongen) door Big Tech, de Nederlandse Overheid, familie, vrienden en collega's.

We kunnen twee dingen doen:
1) Afraden om smartphones voor o.a. geldzaken te gebruiken;
2) Uitzoeken hoe dit zo veilig mogelijk kan en dat, zo objectief mogelijk, adviseren.

11-06-2023, 09:49 door waterlelie: Ik zou bijna zeggen houd gewoon eens op met die beveiligingsmanie, want het overgrote deel van de gebruikers snapt er helemaal niets van, inclusief mijzelf.
Die oproep begrijp ik niet; in januari schreef je zelf nog dat je een Yubikey gebruik(te) (https://security.nl/posting/780197). Ook met het oog op de andere topics die je bent gestart (https://security.nl/profile?alias=waterlelie) snap ik dit niet. Bovenal zie ik niet wat er zo onduidelijk is aan mijn topic. Heb je de WSJ filmpjes bekeken?

Er zijn steeds duurdere smartphones in gebruik en/of mensen zetten steeds meer lucratieve gegevens (voor criminelen) op hun toestellen. Om wat aan een gestolen smartphone zélf te hebben, zál een dief het bijbehorende cloudaccount moeten overnemen - om "Find my device" e.d. te kunnen uitschakelen en aan de fabrikant te kunnen "bewijzen" dat die dief de rechtmatige eigenaar is, en in andere gevallen om een "remote wipe/erase" te voorkómen. En als een dief die toegang tot het cloud-account eenmaal heeft (wat vaak onmiddelijk het geval is zodra die dief het scherm heeft weten te ontgrendelen), is het helemaal een koud kunstje om aanvullende identiteitsfraude te plegen.

11-06-2023, 14:33 door Anoniem: Biometrische gegevens zijn totaal ongeschikt voor authenticatie.
Waarom niet? En welk alternatief is dan "beter", en onder welke omstandigheden alsnog geen goed idee?

De Yubikey heb ik als onbetrouwbaar ervaren, en dat is feitelijk voor mij de enige graadmeter die telt. Inmiddels gebruik ik de Yubikey wel voor 2FA op andere computers of browsers voor een account die ik eigenlijk niet meer gebruik, dus als die plotseling niet meer toegankelijk is, dan is er geen man overboord zogezegd. Ik heb er tenslotte €40 voor betaald.

En elke keer een pincode e.d. in moeten toetsen voor toegang tot je smartphone, is gewoon irritant voor de gebruiker, althans zo ervaar ik dat. Als mijn smartphone wegraakt, ben ik alleen maar een aantal telefoon contacten tijdelijk kwijt, en dat is geen ramp..
15-06-2023, 00:22 door Erik van Straten
Door majortom:
Door Erik van Straten: Als je comfort en zo goed mogelijke beveiliging voor een smartphone of tablet wilt, was mijn advies: koop alleen die toestellen waarop biometrische authenticatie betrouwbaar werkt. Kies vervolgens een wachtwoord of lange PINcode (die niet in een paar pogingen geraden kan worden - dus niet je postcode of geboortejaar) en gebruik zo vaak mogelijk biometrie.
Dan moet je wel vertrouwen hebben in de implementatie van deze biometrische authenticatie. Niets zegt mij dat dit ten allen tijde (ook in de toekomst) op het toestel zelf plaatsvindt en niet ook wordt gelekt naar een centrale instantie. En eenmaal gecompromitteerd, betekent voor eeuwig gecompromitteerd met dit soort methodes.
Ik ben redelijk paranoïde, maar ik denk dat de voordelen in dit geval ruimschoots opwegen tegen de risico's.

Het eerste risico dat ik zie is dat (de combinatie van):
1) Een bitmap van mijn vingerafdruk afkomstig van de betreffende vingerafdrukscanner bij Google of Apple belandt;

2) Een dief mijn smartphone steelt;

3) Die dief weet "hoe ik bij Google of Apple heet" (wat mijn accountnamen zijn);

4) Die dief aan de bitmap van mijn vingerafdruk weet te komen;

5) Die dief de vingerafdrukscanner in de gestolen smartphone vervangt door een elektronische schakeling die, als ware het de vingerafdrukscanner, de bitmap naar de "CPU" (processor in secure enclave o.i.d.) stuurt.

Vooral stap 4 lijkt mij extreem onwaarschijnlijk.

De "evil maid" attack beschreven door de onderzoekers (mini-aftapper in mijn Android smartphone inbouwen) lijkt mij ook zo goed als onmogelijk.

Wat theoretisch wel kan is dat een opsporingsdienst mijn smartphone in beslag neemt en Google of Apple dwingt om zo'n apparaat te ontgendelen, en dat Google/Apple daarom vingerafdrukken zouden opslaan.

Maar dan kunnen zij net zo goed, beter zelfs, mijn wachtwoord (om het scherm te ontgrendelen, bij jou een pincode dus) op hun servers opslaan. Het zou mij minder verbazen als zij dat zouden doen - om in incidentele gevallen mensen, die een leger advocaten kunnen betalen en hun ontgrendelcode vergeten zijn, "van dienst" te zijn (na het tekenen van een geheimhoudingsverklaring vermoed ik). En om, in bijzondere situaties, (sommige) opsporingsdiensten te kunnen helpen.

Ik heb echter niets op mijn smartphones waar justitie op zit te wachten, dus dat valt buiten mijn dreigingsmodel (sowieso kun je, als ik mij niet vergis, in Nederland door justitie gedwongen worden om middels biometrie apparatuur te ontgrendelen - daar hoeft niemand mijn vingerafdruk voor te hebben).

Ik schat de kans dus groter in (maar nog steeds erg klein) dat de eerdergenoemde dief mijn ontgrendel-wachtwoord "weet te scoren". En daar helpt niets tegen (anders dan vaak je ontgrendelwachtwoord wijzigen).

Ten slotte ga ik ervan uit dat ik overal vingerafdrukken achterlaat (ze zijn al gecompromitteerd). Maar daar kun je, vermoed ik, moderne vingerafdrukscanners niet eenvoudig meer mee foppen (d.w.z. binnen een beperkt aantal pogingen, niet geholpen doordat je niet weet welke vinger ik gebruik om te ontgrendelen). Dat je maar een paar pogingen mag doen is essentieel; het enge aan de beschreven aanval is dat de auteurs soms oneindig vaak vingerafdruk-bitmaps konden proberen (wat een fout in de software is, niet in de vingerafdrukscanner zelf).

Kortom: als het om een goede vingerafdrukscanner gaat, nl. als je met andere vingers (desgewenst ook getest met vingertopjes van andere personen) niet kunt authenticeren, is een vingerafdruk aanbieden op een door jou vertrouwd apparaat m.i. helemaal zo gek nog niet.

Dat vind ik echt van een andere categorie dan een scanner die iemand anders beheert en heeft geïnstalleerd (voorbeeld: https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms). En mocht mijn vingerafdruk ooit uit zo'n "apparaat-aan-de-muur" gelekt zijn, dan schat ik de kans als klein in dat daarmee een vingerafdruk gemaakt kan worden die mijn telefoons accepteren (bovendien zal ik nooit mijn pink op zo'n "publiek" apparaat leggen).

Door majortom: Verder kun je bij iemand biometrische authenticatie afdwingen, wat bij een andere methode wat minder vanzelfsprekend is.
Dan bied ik 5x met trillende handen mijn wijsvinger aan, waarna mijn wachtwoord vereist is. Als ik dat wachtwoord 5x fout invoer komt niemand er meer in (Android). Maar dan loop ik wel het risico op extra klappen of erger, dus weet ik niet wat ik in het geval van een daadwerkelijke beroving doe. Sowieso heb ik niet de allernieuwste/duurste toestellen, en niemand zal mij ermee zien betalen (dat doe ik niet).

Door majortom: Ik hou het daarom bij een lange PIN. Aangezien ik de smartfoon vooral als telefoon gebruik en niet voor zaken als bankieren e.d. valt het risico denk ik nog wel mee. En op mijn KeePass die ook op mijn telefoon staat zit een separaat wachtwoord, evenals op mijn TOTP aujthenticatie applicatie. En foto's maak ik er niet mee, gebruik geen cloud diensten, dus zoveel heeft een eventuele dief, die ook de PIN weet te ontgrendelen binnen het aantal mogelijke pogingen (waarbij deze niet de lengte van de PIN weet), niet aan de gegevens die op de telefoon staan.
Dan ben je geen gemiddelde Nederlander. Mijn doelgroep loopt veel grotere risico's.

Door majortom: Het enige zal email kunnen zijn (maar alleen prive, niet zakelijk) dus is het zaak daarvan zsm de credentials aanpassen in zo'n geval.
Vergeet je WiFi-wachtwoord(en) niet!

Nu ik erover nadenk, ik moet maar eens een checklist maken met aandachtspunten na diefstal van een smartphone (en daarvóór, zodat ik beter voorbereid ben). Zoals het IMEI-nummer van elke telefoon noteren (en dat -separaat van de telefoon- meenemen op vakantie), want dat nummer heb je nodig om aangifte te kunnen doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.