Androidmalware schakelt vingerafdruk-ontgrendeling uit om pincode te stelen
Onderzoekers hebben Androidmalware ontdekt die op besmette telefoons de mogelijkheid uitschakelt om het toestel via een vingerafdruk te ontgrendelen, om zo de pincode van gebruikers te kunnen stelen. Bij het inschakelen van vingerafdruk-ontgrendeling moeten gebruikers vaak ook een pincode als terugvaloptie opgeven. Door de biometrische authenticatie uit te schakelen moeten gebruikers het toestel met hun pincode ontgrendelen.
De 'Chameleon' malware kan dan deze pincode stelen en het toestel op elk gewenst moment ontgrendelen. Via de malware kunnen criminelen allerlei soorten fraude plegen. Het gaat onder andere om het onderscheppen van inloggegevens, stelen van cookies en plegen van 'Device Takeover' fraude. Daarbij kan een aanvaller op afstand op het toestel inloggen om vervolgens bankfraude te plegen.
Het uitschakelen van de biometrische authenticatie heeft twee voordelen. Het maakt het mogelijk om de pincode, wachtwoord of patroon van de gebruiker te stelen. De biometrische data is namelijk niet toegankelijk voor de aanvallers. Het tweede voordeel is dat de aanvallers met de gestolen inloggegevens het toestel op elk moment op afstand kunnen ontgrendelen om fraude mee te plegen.
"Hoewel de biometrische data van het slachtoffer buiten bereik van de aanvallers blijft, dwingen ze het toestel om terug te vallen op pin-authenticatie, en kunnen zo de biometrische beveiliging volledig omzeilen", aldus securitybedrijf ThreatFabric dat de Androidmalware ontdekte. De malware heeft het volgens de onderzoekers vooral voorzien op gebruikers in Australië, Polen, het Verenigd Koninkrijk en Italië.
Ik heb dus ook gelijk gekregen, het is al zo, dat malware bestaat, die mensen hun bankrekening middels de bank-app kan leegroven. Het pluspunt zou kunnen zijn, dat de banken zullen moeten wachten met het uit faseren van de e-dentifier2.
Opvallend weinig mensen hebben last van Android malware.
Dat is niet zo - en wel logisch ook. Afgezien van recovery door derden (familie van overledene, die het briefje met de pincode gebruiken bijvoorbeeld ) :
heb je zelf ervaring met de vingerafdruk sensor ?
Ik wel, namelijk - en het gebeurt wel (na douchen, of met koude vingers) bijvoorbeeld - dat de sensor mijn vinger niet herkent .
Na een stuk of wat pogingen gaat die dan in een timeout - en valt de telefoon terug naar pincode .
Er is echt wel een goede reden dat een override/alternatieve authenticatie niet persé (ook) de eerste moet vereisen.
Het hele feit dat de malware erop gekomen is - met teveel rechten - is het probleem - daarna is het voor een OS meestal game over .
Het blijft me ook verbazen waarom mensen zo hangen aan die camera schuifjes - als je systeem zo platgehacked is dat aanvallers de cam kunnen bedienen is er _zoveel_ te halen dat je je echt veel zorgen moet maken . ook zonder smoelwerk op cam.
Erg kortzichtige uitspraak. Alsof desktops beter zijn beveiligd? Er zijn veel meer vergelijkbare mogelijkheden op een desktop.
Dat is niet zo - en wel logisch ook. Afgezien van recovery door derden (familie van overledene, die het briefje met de pincode gebruiken bijvoorbeeld ) :
heb je zelf ervaring met de vingerafdruk sensor ?
Ik wel, namelijk - en het gebeurt wel (na douchen, of met koude vingers) bijvoorbeeld - dat de sensor mijn vinger niet herkent .
Na een stuk of wat pogingen gaat die dan in een timeout - en valt de telefoon terug naar pincode .
Er is echt wel een goede reden dat een override/alternatieve authenticatie niet persé (ook) de eerste moet vereisen.
Het hele feit dat de malware erop gekomen is - met teveel rechten - is het probleem - daarna is het voor een OS meestal game over .
Het blijft me ook verbazen waarom mensen zo hangen aan die camera schuifjes - als je systeem zo platgehacked is dat aanvallers de cam kunnen bedienen is er _zoveel_ te halen dat je je echt veel zorgen moet maken . ook zonder smoelwerk op cam.
Je leest ook nergens hoe het er op kan komen.
Het is alleen maar een beschrijving van een stuk malware waar miljoenen varianten van zijn.
Erg kortzichtige uitspraak. Alsof desktops beter zijn beveiligd? Er zijn veel meer vergelijkbare mogelijkheden op een desktop.
Ik zeg toch niet dat desktops beter zijn beveiligd? Ik denk dat er weinig verschil is. Mijn desktop systeem zou ik ook niet gebruiken als enige element in de beveiliging van mijn bankrekening.
Ik gebruik wachtwoord en een hardware token (ING ding) om in te loggen. Dat hardware token is niet verbonden met enig netwerk. Het gebruikt een ingebouwde camera om een code van het beeldscherm van mijn computer te lezen en zegt dan op het scherm wat er geautoriseerd gaat worden en vraagt om de pin in te toetsen. Daarna verschijnt op het schermpje van het hardware token een 7-cijferige code die ik dan weer op mijn computer moet intoetsen. Dit is natuurlijk veel minder snel en gemakkelijk, maar dat moet dan maar.
Linux Mint is een goede distributie waar gemakkelijk mee is te werken.
Linux Mint is een goede distributie waar gemakkelijk mee is te werken.
en waarom is dat zo veilig ? want linux heeft geen virusscanner
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
