Onderzoekers omzeilen vingerafdrukscanners met nagemaakte vingerafdrukken
Vingerafdrukscanners van smartphones, tablets en MacBooks zijn met nagemaakte vingerafdrukken te omzeilen, zo hebben onderzoekers van Cisco aangetoond. Gebruikers die gevoelige informatie op hun toestel hebben staan of denken het doelwit van een goed gefinancierde aanvaller te zijn krijgen dan ook het advies om in plaats van een vingerafdruk een sterk wachtwoord en tweefactorauthenticatie via een token te gebruiken.
Voor het onderzoek wilden de onderzoekers kijken of een doorsnee persoon met een 3d-printer en bijvoorbeeld een vingerafdruk op een glas een vingerafdruk kan namaken waarmee systemen zijn te ontgrendelen. Volgens de onderzoekers zorgen 3d-printers ervoor dat iedereen met de juiste middelen op grote schaal nepvingerafdrukken kan maken. De nagemaakte vingerafdrukken werden getest op smartphones, laptops, een slot en usb-sticks. Uiteindelijk haalden de onderzoekers een succesratio van tachtig procent, hoewel er grote verschillen in de geteste apparaten zijn.
Vingerafdrukauthenticatie is in twee stappen te verdelen. De eerste stap is het opslaan van de vingerafdruk, waarbij de scanner een afbeelding van de vingerafdruk genereert. De tweede stap is het analyseren en vergelijken van de gegenereerde afbeeldingen. Dit kan door de vingerafdrukscanner of het besturingssysteem worden gedaan. De onderzoekers merken op dat het algoritme dat de vingerafdrukken vergelijkt een bepaalde marge moet hanteren. Wanneer de vingerafdruk iets is veranderd, bijvoorbeeld door een sneetje in de vinger, moet de gebruiker nog steeds zijn toestel kunnen ontgrendelen. Zowel in de eerste als tweede stap zitten kwetsbaarheden, aldus de onderzoekers.
De geteste apparaten bleken drie soorten vingerafdrukscanners te gebruiken, capacitief, optisch en ultrasoon, die elk verschillend op gebruikte materialen en verzameltechnieken reageerden. Voor het verzamelen van de vingerafdrukken werd gebruik gemaakt van drie manieren: direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is, via een vingerafdruksensor en als laatste een object, zoals een glas of foto van de vingerafdruk. Vervolgens werd er met verschillende materiaalsoorten een vingerafdruk nagemaakt.
De nepvingerafdrukken bleken goed te werken tegen de iPad, iPhone 8, Samsung S10, Samsung Note 9, Huawei P30 Lite, Honor 7X, een slot van Aicase en een Macbook Pro 2018. Het lukte de onderzoekers niet om de Windowslaptops en usb-sticks met de nepvingerafdrukken te ontgrendelen. De onderzoekers merken op dat fabrikanten er verstandig aan doen om het aantal inlogpogingen te beperken. Zo vraagt Apple na vijf mislukte pogingen om de pincode. Bij Samsung konden de onderzoekers vijftig keer proberen in te loggen en bij de Honor zelfs een onbeperkt aantal keer.
"Onze resultaten laten duidelijk zien dat vingerafdruktechnologie niet voldoende is geëvolueerd om voor alle voorgestelde dreigingsmodellen als veilig te worden beschouwd", aldus de onderzoekers. Voor "high-profile" gebruikers of mensen die gevoelige informatie op hun toestel hebben staan raden ze het gebruik van de vingerafdrukscanner af. In plaats daarvan wordt een sterk wachtwoord en token tweefactorauthenticatie aangeraden.
Verder, in de iPhone specs staat dat de fingerprint collision 1 op 50.000 is, dat betekent dat het ietsje veiliger is dan een 4-cijferige pin raden.
Fingerprint biometrie geeft een zeer laagwaardige bescherming. Sinds een eerste ervaring
hiermee rond 1996 kan ik alleen maar denken aan 'te kopiëren' vingerafdrukken als ik
iemand een glas, theekopje, bord, ... zie pakken.
Even later het mobieltje of stick lenen ... Sesam open u
En het is dus verontrustend dat er na zoveel jaar nog geen afdoende oplossing voor is.
Tenminste niet bij een deel van de leveranciers.
Het blijkt dat diverse andere fabrikanten dit soort aanvallen wel kan voorkomen.
Peter
Aan de Anoniemen van 11:18 en 12:52: bij het onderzoek werden ook vingerafdrukken afgenomen "direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is" - gedrogeerd kan natuurlijk ook. Als het slachtoffer zijn.haar smartphone bij zich heeft, hoef je in die situaties natuurlijk geen vingerafdrukken te maken.
Fingerprint biometrie geeft een zeer laagwaardige bescherming. Sinds een eerste ervaring
hiermee rond 1996 kan ik alleen maar denken aan 'te kopiëren' vingerafdrukken als ik
iemand een glas, theekopje, bord, ... zie pakken.
Even later het mobieltje of stick lenen ... Sesam open u
Ik ken een jongen die z'n iPhone ontgrendeld via TouchID met z'n leuter.
Alle biometrische authenticatie methodes bieden zeer laagwaardige bescherming. Bloed, iris scan, enz. Wachtwoorden en codes zijn altijd veiliger biometrische oplossingen.
Dat denk ik toch net even niet.
Alle biometrische authenticatie methodes bieden zeer laagwaardige bescherming. Bloed, iris scan, enz. Wachtwoorden en codes zijn altijd veiliger biometrische oplossingen.
Dat is (excuse me saying so) onzin. Het gaat zoals met alles in security om de risico analyse. Dat iets theoretisch mogelijk is, wil nog niet zeggen dat de kans groot is dat het ook wordt toegepast. Voor de meeste gebruikers is een vingerafdruk echt een prima methode om te unlocken. Veel beter dan een pincode, want die kan je afkijken, of raden, of brute forcen. Het advies van Erik van Straten om een andere vinger dan je wijsvinger te gebruiken voor de registratie is een prima tip.
Op een iPhone kan je trouwens de unlock met vingerafdruk uitschakelen door 5x snel op de power knop te drukken. Handig als je bv. bij een douane post van een "vreemd" land naar binnen moet.
Dat is iets wat ik wel zou willen, een pincode/wachtwoord en als 2FA die smoel van me.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.