image

Androidmalware schakelt vingerafdruk-ontgrendeling uit om pincode te stelen

donderdag 21 december 2023, 15:50 door Redactie, 10 reacties

Onderzoekers hebben Androidmalware ontdekt die op besmette telefoons de mogelijkheid uitschakelt om het toestel via een vingerafdruk te ontgrendelen, om zo de pincode van gebruikers te kunnen stelen. Bij het inschakelen van vingerafdruk-ontgrendeling moeten gebruikers vaak ook een pincode als terugvaloptie opgeven. Door de biometrische authenticatie uit te schakelen moeten gebruikers het toestel met hun pincode ontgrendelen.

De 'Chameleon' malware kan dan deze pincode stelen en het toestel op elk gewenst moment ontgrendelen. Via de malware kunnen criminelen allerlei soorten fraude plegen. Het gaat onder andere om het onderscheppen van inloggegevens, stelen van cookies en plegen van 'Device Takeover' fraude. Daarbij kan een aanvaller op afstand op het toestel inloggen om vervolgens bankfraude te plegen.

Het uitschakelen van de biometrische authenticatie heeft twee voordelen. Het maakt het mogelijk om de pincode, wachtwoord of patroon van de gebruiker te stelen. De biometrische data is namelijk niet toegankelijk voor de aanvallers. Het tweede voordeel is dat de aanvallers met de gestolen inloggegevens het toestel op elk moment op afstand kunnen ontgrendelen om fraude mee te plegen.

"Hoewel de biometrische data van het slachtoffer buiten bereik van de aanvallers blijft, dwingen ze het toestel om terug te vallen op pin-authenticatie, en kunnen zo de biometrische beveiliging volledig omzeilen", aldus securitybedrijf ThreatFabric dat de Androidmalware ontdekte. De malware heeft het volgens de onderzoekers vooral voorzien op gebruikers in Australië, Polen, het Verenigd Koninkrijk en Italië.

Reacties (10)
21-12-2023, 17:58 door buttonius
Alweer een reden om nooit een app van de bank op je smartphone te installeren. Een smartphone is veel te complex om zulke belangrijke geheimen aan toe te vertrouwen.
21-12-2023, 18:33 door Rubbertje - Bijgewerkt: 21-12-2023, 18:43
Dat klinkt als een bug (lek) in Android. Je zou nl. denken dat als je de biometrische authenticatie wilt uitschakelen dat je dat moet bevestigen met je vingerafdruk...
21-12-2023, 18:55 door waterlelie
Ik heb hier al enige malen mijn zorg uitgesproken over de bank app, in mijn geval de ABNAMRO bank app, die geïntegreerd is in het bankieren op de smartphone. Dit betekend dat ik geen bankieren op mijn smartphone heb, of zelfs maar wil.

Ik heb dus ook gelijk gekregen, het is al zo, dat malware bestaat, die mensen hun bankrekening middels de bank-app kan leegroven. Het pluspunt zou kunnen zijn, dat de banken zullen moeten wachten met het uit faseren van de e-dentifier2.
21-12-2023, 19:57 door Anoniem
Onderzoekers hebben Androidmalware ontdekt die op besmette telefoons de mogelijkheid uitschakelt om het toestel via een vingerafdruk te ontgrendelen
Zal mij een worst wezen. Onbelangrijk. Veel belangrijker is hoe het er op komt. Zegt u het maar?
Opvallend weinig mensen hebben last van Android malware.
21-12-2023, 23:52 door Anoniem
Door Rubbertje: Dat klinkt als een bug (lek) in Android. Je zou nl. denken dat als je de biometrische authenticatie wilt uitschakelen dat je dat moet bevestigen met je vingerafdruk...

Dat is niet zo - en wel logisch ook. Afgezien van recovery door derden (familie van overledene, die het briefje met de pincode gebruiken bijvoorbeeld ) :

heb je zelf ervaring met de vingerafdruk sensor ?

Ik wel, namelijk - en het gebeurt wel (na douchen, of met koude vingers) bijvoorbeeld - dat de sensor mijn vinger niet herkent .
Na een stuk of wat pogingen gaat die dan in een timeout - en valt de telefoon terug naar pincode .

Er is echt wel een goede reden dat een override/alternatieve authenticatie niet persé (ook) de eerste moet vereisen.

Het hele feit dat de malware erop gekomen is - met teveel rechten - is het probleem - daarna is het voor een OS meestal game over .
Het blijft me ook verbazen waarom mensen zo hangen aan die camera schuifjes - als je systeem zo platgehacked is dat aanvallers de cam kunnen bedienen is er _zoveel_ te halen dat je je echt veel zorgen moet maken . ook zonder smoelwerk op cam.
22-12-2023, 08:43 door Anoniem
Door buttonius: Alweer een reden om nooit een app van de bank op je smartphone te installeren. Een smartphone is veel te complex om zulke belangrijke geheimen aan toe te vertrouwen.

Erg kortzichtige uitspraak. Alsof desktops beter zijn beveiligd? Er zijn veel meer vergelijkbare mogelijkheden op een desktop.
22-12-2023, 10:46 door Anoniem
Door Anoniem:
Door Rubbertje: Dat klinkt als een bug (lek) in Android. Je zou nl. denken dat als je de biometrische authenticatie wilt uitschakelen dat je dat moet bevestigen met je vingerafdruk...

Dat is niet zo - en wel logisch ook. Afgezien van recovery door derden (familie van overledene, die het briefje met de pincode gebruiken bijvoorbeeld ) :

heb je zelf ervaring met de vingerafdruk sensor ?

Ik wel, namelijk - en het gebeurt wel (na douchen, of met koude vingers) bijvoorbeeld - dat de sensor mijn vinger niet herkent .
Na een stuk of wat pogingen gaat die dan in een timeout - en valt de telefoon terug naar pincode .

Er is echt wel een goede reden dat een override/alternatieve authenticatie niet persé (ook) de eerste moet vereisen.

Het hele feit dat de malware erop gekomen is - met teveel rechten - is het probleem - daarna is het voor een OS meestal game over .
Het blijft me ook verbazen waarom mensen zo hangen aan die camera schuifjes - als je systeem zo platgehacked is dat aanvallers de cam kunnen bedienen is er _zoveel_ te halen dat je je echt veel zorgen moet maken . ook zonder smoelwerk op cam.
Er staat niet in de tekst dat er malware is opgekomen, maar dat er malware is ontdekt!
Je leest ook nergens hoe het er op kan komen.
Het is alleen maar een beschrijving van een stuk malware waar miljoenen varianten van zijn.
22-12-2023, 11:29 door buttonius
Door Anoniem 08:43:
Door buttonius: Alweer een reden om nooit een app van de bank op je smartphone te installeren. Een smartphone is veel te complex om zulke belangrijke geheimen aan toe te vertrouwen.

Erg kortzichtige uitspraak. Alsof desktops beter zijn beveiligd? Er zijn veel meer vergelijkbare mogelijkheden op een desktop.

Ik zeg toch niet dat desktops beter zijn beveiligd? Ik denk dat er weinig verschil is. Mijn desktop systeem zou ik ook niet gebruiken als enige element in de beveiliging van mijn bankrekening.
Ik gebruik wachtwoord en een hardware token (ING ding) om in te loggen. Dat hardware token is niet verbonden met enig netwerk. Het gebruikt een ingebouwde camera om een code van het beeldscherm van mijn computer te lezen en zegt dan op het scherm wat er geautoriseerd gaat worden en vraagt om de pin in te toetsen. Daarna verschijnt op het schermpje van het hardware token een 7-cijferige code die ik dan weer op mijn computer moet intoetsen. Dit is natuurlijk veel minder snel en gemakkelijk, maar dat moet dan maar.
23-12-2023, 13:25 door Anoniem
Het beste is gewoon een Live-CD te gebruiken voor het inloggen op uw bankzaken, dat is erg veilig.
Linux Mint is een goede distributie waar gemakkelijk mee is te werken.
24-12-2023, 11:17 door Anoniem
Door Anoniem: Het beste is gewoon een Live-CD te gebruiken voor het inloggen op uw bankzaken, dat is erg veilig.
Linux Mint is een goede distributie waar gemakkelijk mee is te werken.
Waar kan ik info vinden over Linux Mint
en waarom is dat zo veilig ? want linux heeft geen virusscanner
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.