image

Onderzoekers omzeilen vingerafdrukscanners met nagemaakte vingerafdrukken

donderdag 9 april 2020, 11:02 door Redactie, 11 reacties

Vingerafdrukscanners van smartphones, tablets en MacBooks zijn met nagemaakte vingerafdrukken te omzeilen, zo hebben onderzoekers van Cisco aangetoond. Gebruikers die gevoelige informatie op hun toestel hebben staan of denken het doelwit van een goed gefinancierde aanvaller te zijn krijgen dan ook het advies om in plaats van een vingerafdruk een sterk wachtwoord en tweefactorauthenticatie via een token te gebruiken.

Voor het onderzoek wilden de onderzoekers kijken of een doorsnee persoon met een 3d-printer en bijvoorbeeld een vingerafdruk op een glas een vingerafdruk kan namaken waarmee systemen zijn te ontgrendelen. Volgens de onderzoekers zorgen 3d-printers ervoor dat iedereen met de juiste middelen op grote schaal nepvingerafdrukken kan maken. De nagemaakte vingerafdrukken werden getest op smartphones, laptops, een slot en usb-sticks. Uiteindelijk haalden de onderzoekers een succesratio van tachtig procent, hoewel er grote verschillen in de geteste apparaten zijn.

Vingerafdrukauthenticatie is in twee stappen te verdelen. De eerste stap is het opslaan van de vingerafdruk, waarbij de scanner een afbeelding van de vingerafdruk genereert. De tweede stap is het analyseren en vergelijken van de gegenereerde afbeeldingen. Dit kan door de vingerafdrukscanner of het besturingssysteem worden gedaan. De onderzoekers merken op dat het algoritme dat de vingerafdrukken vergelijkt een bepaalde marge moet hanteren. Wanneer de vingerafdruk iets is veranderd, bijvoorbeeld door een sneetje in de vinger, moet de gebruiker nog steeds zijn toestel kunnen ontgrendelen. Zowel in de eerste als tweede stap zitten kwetsbaarheden, aldus de onderzoekers.

De geteste apparaten bleken drie soorten vingerafdrukscanners te gebruiken, capacitief, optisch en ultrasoon, die elk verschillend op gebruikte materialen en verzameltechnieken reageerden. Voor het verzamelen van de vingerafdrukken werd gebruik gemaakt van drie manieren: direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is, via een vingerafdruksensor en als laatste een object, zoals een glas of foto van de vingerafdruk. Vervolgens werd er met verschillende materiaalsoorten een vingerafdruk nagemaakt.

De nepvingerafdrukken bleken goed te werken tegen de iPad, iPhone 8, Samsung S10, Samsung Note 9, Huawei P30 Lite, Honor 7X, een slot van Aicase en een Macbook Pro 2018. Het lukte de onderzoekers niet om de Windowslaptops en usb-sticks met de nepvingerafdrukken te ontgrendelen. De onderzoekers merken op dat fabrikanten er verstandig aan doen om het aantal inlogpogingen te beperken. Zo vraagt Apple na vijf mislukte pogingen om de pincode. Bij Samsung konden de onderzoekers vijftig keer proberen in te loggen en bij de Honor zelfs een onbeperkt aantal keer.

"Onze resultaten laten duidelijk zien dat vingerafdruktechnologie niet voldoende is geëvolueerd om voor alle voorgestelde dreigingsmodellen als veilig te worden beschouwd", aldus de onderzoekers. Voor "high-profile" gebruikers of mensen die gevoelige informatie op hun toestel hebben staan raden ze het gebruik van de vingerafdrukscanner af. In plaats daarvan wordt een sterk wachtwoord en token tweefactorauthenticatie aangeraden.

Image

Reacties (11)
09-04-2020, 11:18 door Anoniem
Het ontgrendelen van een iPhone door een fake-fingerprint is al een keer eerder door de Duitsers aangetoond. Dus de onderzoekers van Cisco kunnen het dus reproduceren. Enfin.

Verder, in de iPhone specs staat dat de fingerprint collision 1 op 50.000 is, dat betekent dat het ietsje veiliger is dan een 4-cijferige pin raden.
09-04-2020, 11:20 door Erik van Straten
Je kunt het aanvallers lastiger maken door een andere vinger dan je wijsvinger te gebruiken voor unlocken. Met name als het aantal pogingen dat gedaan kan worden, voordat de code moet worden ingevoerd, is dat zinvol.
09-04-2020, 12:52 door Anoniem
Dit soort technieken zijn al sinds de jaren negentig in gebruik om fingerprint te breken.
Fingerprint biometrie geeft een zeer laagwaardige bescherming. Sinds een eerste ervaring
hiermee rond 1996 kan ik alleen maar denken aan 'te kopiëren' vingerafdrukken als ik
iemand een glas, theekopje, bord, ... zie pakken.

Even later het mobieltje of stick lenen ... Sesam open u
09-04-2020, 13:36 door Anoniem
Door Erik van Straten: Je kunt het aanvallers lastiger maken door een andere vinger dan je wijsvinger te gebruiken voor unlocken. Met name als het aantal pogingen dat gedaan kan worden, voordat de code moet worden ingevoerd, is dat zinvol.
Daarom gebruik ik mijn grote teen
09-04-2020, 14:15 door -Peter-
Door Anoniem: Dit soort technieken zijn al sinds de jaren negentig in gebruik om fingerprint te breken.

En het is dus verontrustend dat er na zoveel jaar nog geen afdoende oplossing voor is.
Tenminste niet bij een deel van de leveranciers.
Het blijkt dat diverse andere fabrikanten dit soort aanvallen wel kan voorkomen.

Peter
09-04-2020, 14:35 door Erik van Straten
Sorry, in mijn bovenstaande bijdrage bedoelde ik natuurlijk "Met name als het aantal pogingen dat gedaan kan worden klein is, voordat de code moet worden ingevoerd, is dat zinvol."

Aan de Anoniemen van 11:18 en 12:52: bij het onderzoek werden ook vingerafdrukken afgenomen "direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is" - gedrogeerd kan natuurlijk ook. Als het slachtoffer zijn.haar smartphone bij zich heeft, hoef je in die situaties natuurlijk geen vingerafdrukken te maken.
09-04-2020, 14:59 door Anoniem
Door Anoniem: Dit soort technieken zijn al sinds de jaren negentig in gebruik om fingerprint te breken.
Fingerprint biometrie geeft een zeer laagwaardige bescherming. Sinds een eerste ervaring
hiermee rond 1996 kan ik alleen maar denken aan 'te kopiëren' vingerafdrukken als ik
iemand een glas, theekopje, bord, ... zie pakken.

Even later het mobieltje of stick lenen ... Sesam open u

Ik ken een jongen die z'n iPhone ontgrendeld via TouchID met z'n leuter.

Alle biometrische authenticatie methodes bieden zeer laagwaardige bescherming. Bloed, iris scan, enz. Wachtwoorden en codes zijn altijd veiliger biometrische oplossingen.
09-04-2020, 15:43 door Anoniem
Merk op dat ze zeggen dat als ze maar goed blijven knutselen en de scanners verbeteren dat vingerafdrukken ooit wel overal veilig genoeg voor gaan zijn.

Dat denk ik toch net even niet.
09-04-2020, 21:24 door Anoniem
Door Anoniem:
Alle biometrische authenticatie methodes bieden zeer laagwaardige bescherming. Bloed, iris scan, enz. Wachtwoorden en codes zijn altijd veiliger biometrische oplossingen.

Dat is (excuse me saying so) onzin. Het gaat zoals met alles in security om de risico analyse. Dat iets theoretisch mogelijk is, wil nog niet zeggen dat de kans groot is dat het ook wordt toegepast. Voor de meeste gebruikers is een vingerafdruk echt een prima methode om te unlocken. Veel beter dan een pincode, want die kan je afkijken, of raden, of brute forcen. Het advies van Erik van Straten om een andere vinger dan je wijsvinger te gebruiken voor de registratie is een prima tip.
Op een iPhone kan je trouwens de unlock met vingerafdruk uitschakelen door 5x snel op de power knop te drukken. Handig als je bv. bij een douane post van een "vreemd" land naar binnen moet.
09-04-2020, 21:29 door Anoniem
Biometrie is totaal ongeschikt voor authenticatie, hooguit als 2FA.

Dat is iets wat ik wel zou willen, een pincode/wachtwoord en als 2FA die smoel van me.
06-10-2020, 15:54 door Anoniem
Door Anoniem:
Door Erik van Straten: Je kunt het aanvallers lastiger maken door een andere vinger dan je wijsvinger te gebruiken voor unlocken. Met name als het aantal pogingen dat gedaan kan worden, voordat de code moet worden ingevoerd, is dat zinvol.
Daarom gebruik ik mijn grote teen
what
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.