image

WhatsApp biedt vingerafdrukbeveiliging voor Androidgebruikers

vrijdag 1 november 2019, 10:40 door Redactie, 18 reacties

WhatsApp heeft een nieuwe optie voor Androidgebruikers toegevoegd zodat die de toegang tot de app via hun vingerafdruk kunnen beveiligen. Dat heeft de chatdienst via een blogposting bekendgemaakt. Eerder werd de beveiligingsoptie al beschikbaar gemaakt voor iOS-gebruikers van de chat-app.

Via "Fingerprint lock" kunnen Androidgebruikers op toestellen die het ondersteunen de app ontgrendelen. Dit is een extra beveiligingslaag om ongeautoriseerde toegang tot WhatsApp te voorkomen in het geval iemand toegang tot een ontgrendeld toestel heeft. Afhankelijk van de instellingen worden WhatsApp-notificaties nog wel gewoon getoond, alsmede de optie om snel een bericht terug te sturen of gesprekken op te nemen. De volledige app is echter niet toegankelijk, tenzij de biometrische authenticatie succesvol is.

Image

Reacties (18)
01-11-2019, 11:19 door Anoniem
Je telefoon is toch al met een vingerafrdukscanner beveiligd?
Dit lijkt me enkel een manier om ook nog een vingerafdrukken toe te kunnen voegen aan het facebook-archief.
01-11-2019, 12:23 door Anoniem
O dus Facebook wil nu ook al onze vingerafdruk krijgen
01-11-2019, 13:08 door Anoniem
Door Anoniem: Je telefoon is toch al met een vingerafrdukscanner beveiligd?
Dit lijkt me enkel een manier om ook nog een vingerafdrukken toe te kunnen voegen aan het facebook-archief.

Applicaties hebben geen toegang tot de vingerafdruk.
"A vendor-specific HAL implementation must use the communication protocol required by a TEE. Raw images and processed fingerprint features must not be passed in untrusted memory. All such biometric data needs to be stored in the secure hardware such as the TEE. Rooting must not be able to compromise biometric data."
01-11-2019, 13:58 door [Account Verwijderd]
Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.
01-11-2019, 14:12 door Anoniem
Ik gebruik zelf de standaard android functionaliteit waarmee je apps kan locken met een passcode of vingerafdruk. Niet echt nodig om de Whatsapp lock te gebruiken dus
01-11-2019, 15:31 door Erik van Straten
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt.
Er kan aantoonbaar geen veilige hash worden gebruikt, want veilige (lees cryptografische) hashes leveren per definitie een totaal andere waarde op bij een minimale wijziging van de input (en die krijg je zomaar bij het iets anders plaatsen van jouw vinger op de scanner, bij kleine beschadigingen aan de vinger en als gevolg van vuil, vet en zouten).

Er wordt een set parameters opgeslagen, eventueel lastig omkeerbare afgeleiden daarvan (maar die onomkeerbaarheid is nooit zo sterk als van een cryptografische hash), die karakteristiek zijn voor een vingerafdruk, waar binnen bepaalde grenzen een "ja" of een "nee" uit volgt.

Die "ja" of "nee" zou je natuurlijk een hashresultaat kunnen noemen (met een lenge van 1 bit) zodat je vol kunt houden dat er een hashfunctie gebruikt wordt, maar misschien kun je dan beter koelkasten op de noordpool gaan verkopen (gratis tip van mij voor het geval global warming doorzet ;-)

Neemt niet weg dat er parameters worden opgeslagen die karakteristiek zijn voor jouw vingerafdruk. Je kunt nooit uitsluiten (wellicht ligt het zelfs voor de hand) dat als een kwaadwillende die parameters in handen krijgt, hij een apparaat kan maken dat een vingerafdrukscanner van hetzelfde merk en type, met dezelfde software erachter, kan laten besluiten dat het jouw vinger moet zijn die op die scanner ligt.

Door Kili Manjaro: Niemand krijgt jouw echte vingerafdruk.
Niet wat we, in de volksmond, een vingerafdruk noemen. Maar wel, en dat geldt zelfs als het om "een hash" zou gaan, gegevens met een beperkte entropie die representatief zijn voor een vingerafdruk. En waarmee, daar twijfel ik nauwelijks aan, onder specifieke omstandigheden identiteitsfraude kan worden gepleegd. Daar is m.i. nog veel te weinig onderzoek naar gedaan (lees: bekend bij mij). Het aantal kwetsbaarheden in fundamentele principes neemt nooit af, maar meestal wel toe in de loop van de tijd.

Dat ik zelf mijn pinkafdruk gebruik om mijn smartphones te unlocken, is op basis van een eenvoudige risicoanalyse (gebaseerd op zoveel mogelijk feiten en geen onuitroeibare mythes), waarbij ik denk dat de voordelen opwegen tegen de nadelen.
01-11-2019, 18:23 door Anoniem
" Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk."

Hoe weet jij dat zo zeker ?
Bedrijven waar het over gaat zijn gekend om hun ongeziene drang naar info en data. Weet je zelf ook.
Ik zou er geen Euro op wedden en die kleine letters kunnen heel snel worden aangepast.
Bezint voor je begint
01-11-2019, 18:56 door Anoniem
Door Anoniem: " Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk."

Hoe weet jij dat zo zeker ?
Bedrijven waar het over gaat zijn gekend om hun ongeziene drang naar info en data. Weet je zelf ook.
Ik zou er geen Euro op wedden en die kleine letters kunnen heel snel worden aangepast.
Bezint voor je begint

Hij werkt voor de Israelische overheid. Hij kan het weten want hij collect al onze data :)
01-11-2019, 19:57 door Anoniem
Door Anoniem: " Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk."

Hoe weet jij dat zo zeker ?
Bedrijven waar het over gaat zijn gekend om hun ongeziene drang naar info en data. Weet je zelf ook.
Ik zou er geen Euro op wedden en die kleine letters kunnen heel snel worden aangepast.
Bezint voor je begint

Omdat applicaties in een sandbox draaien met amper permissies en alle manipulatie van de vingerafdruk gaat via de Trusted Execution Environment(TEE) en draait op een aparte kernel los van het Android systeem.
En de HAL (Hardware Abstraction Layer) is ook gelimiteerd bij SELinux.
Het threat model is dat zelfs als je telefoon geroot is dat de 'vingerafdruk' nooit in untrusted memory komt.
01-11-2019, 21:14 door Erik van Straten - Bijgewerkt: 01-11-2019, 21:15
Door Anoniem: Omdat applicaties in een sandbox draaien met amper permissies en alle manipulatie van de vingerafdruk gaat via de Trusted Execution Environment(TEE) en draait op een aparte kernel los van het Android systeem.
En de HAL (Hardware Abstraction Layer) is ook gelimiteerd bij SELinux.
Het threat model is dat zelfs als je telefoon geroot is dat de 'vingerafdruk' nooit in untrusted memory komt.
Als een software-update (zoals beschreven in https://www.security.nl/posting/629020/Samsung+rolt+update+voor+vingerafdrukscanner+uit+in+Nederland) problemen met een vingerafdrukscanner kan verhelpen, smartphones geroot kunnen worden (ook door malware) en er aan de lopende band kwetsbaarheden in sandbox/enclave-achtige voorzieningen en/of CPU's en memory (rowhammer) worden ontdekt, ga ik er ervan uit dat de karakteristieke gegevens van de pinkafdruk in mijn smartphones -vroeger of later- in verkeerde handen kunnen vallen.
02-11-2019, 07:53 door spatieman
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.
maar die hash kan wel geupload worden naar facebook, en is dan bekend ,en kan vergeleken worden.
02-11-2019, 11:53 door Briolet
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.

Ik denk dat er zelfs geen hash gebruikt wordt door WatsApp. De controle zal een bibliotheek procedure van het systeem zijn die door WhatsApp aangeroepen wordt. Het enige wat WhatsApp te zien krijgt is het resultaat van de validatie.

Ik heb het net even geprobeerd: Je hoeft maar één keer je vingerafdruk te scannen om het aan te zetten. Dat is niet genoeg om dat elke keer met een zelf opgeslagen hash te vergelijken. Sterker: je kunt daarna ook ontgrendelen met een andere vinger die je in de telefoon opgeslagen hebt.

Verder zie ik geen backup mechanisme in de vorm van een wachtwoord voor het geval je vingerafdruk onleesbaar is. De enige optie die geboden wordt is de vingerafdruk herkenning op de telefoon uit te zetten. Er is dus geen mogelijkheid om zolang een wachtwoord te gebruiken totdat een afdruk weer leesbaar is. (versleten oppervlak of geblesseerde vinger)
02-11-2019, 11:54 door Briolet
Door spatieman:
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.
maar die hash kan wel geupload worden naar facebook, en is dan bekend ,en kan vergeleken worden.
Paranoia
02-11-2019, 22:00 door [Account Verwijderd]
Door Briolet:
Door spatieman:
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.
maar die hash kan wel geupload worden naar facebook, en is dan bekend ,en kan vergeleken worden.
Paranoia

Nix te paranoia. Die hash is het zelfde als je vingerafdruk en zal nooit veranderen!
03-11-2019, 10:56 door Erik van Straten
Door Rexodus: Die hash is het zelfde als je vingerafdruk en zal nooit veranderen!
Het is geen hash.

En je vingerafdruk, zoals gezien door een vingerafdrukscanner, verandert wel een beetje in de loop van je leven (o.a. door wondjes en met name littekens, maar als je niet je hele vinger(top) verliest is dat zelden voldoende om redelijk zekere identificatie uit te sluiten).

'In grote lijnen" blijft het patroon je hele leven hetzelfde, maar soms zul je (zeker na klussen met cement e.d.) gebruikte vingerafdrukscanners opnieuw moeten calibreren.
03-11-2019, 11:15 door Anoniem
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.

Ik heb te horen gekregen dat je vingerafdruk gewoon als default wordt geupload op cloud. Met quantum rekenkrachten kan je een hash zo reverse engineeren.
03-11-2019, 18:24 door SPer
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.
alleen jammer dat de politie je legaal kan dwingen je vinger op de scanner te leggem :-( .Maar je niet kunnen verplichten je pincode te geven .
03-11-2019, 18:24 door SPer
Door Anoniem:
Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt. Niemand krijgt jouw echte vingerafdruk.

Ik heb te horen gekregen dat je vingerafdruk gewoon als default wordt geupload op cloud. Met quantum rekenkrachten kan je een hash zo reverse engineeren.
ehh, naar wat ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.