Androidmalware schakelt vingerafdruk-ontgrendeling uit om pincode te stelen
Onderzoekers hebben Androidmalware ontdekt die op besmette telefoons de mogelijkheid uitschakelt om het toestel via een vingerafdruk te ontgrendelen, om zo de pincode van gebruikers te kunnen stelen. Bij het inschakelen van vingerafdruk-ontgrendeling moeten gebruikers vaak ook een pincode als terugvaloptie opgeven. Door de biometrische authenticatie uit te schakelen moeten gebruikers het toestel met hun pincode ontgrendelen.
De 'Chameleon' malware kan dan deze pincode stelen en het toestel op elk gewenst moment ontgrendelen. Via de malware kunnen criminelen allerlei soorten fraude plegen. Het gaat onder andere om het onderscheppen van inloggegevens, stelen van cookies en plegen van 'Device Takeover' fraude. Daarbij kan een aanvaller op afstand op het toestel inloggen om vervolgens bankfraude te plegen.
Het uitschakelen van de biometrische authenticatie heeft twee voordelen. Het maakt het mogelijk om de pincode, wachtwoord of patroon van de gebruiker te stelen. De biometrische data is namelijk niet toegankelijk voor de aanvallers. Het tweede voordeel is dat de aanvallers met de gestolen inloggegevens het toestel op elk moment op afstand kunnen ontgrendelen om fraude mee te plegen.
"Hoewel de biometrische data van het slachtoffer buiten bereik van de aanvallers blijft, dwingen ze het toestel om terug te vallen op pin-authenticatie, en kunnen zo de biometrische beveiliging volledig omzeilen", aldus securitybedrijf ThreatFabric dat de Androidmalware ontdekte. De malware heeft het volgens de onderzoekers vooral voorzien op gebruikers in Australië, Polen, het Verenigd Koninkrijk en Italië.
Ik heb dus ook gelijk gekregen, het is al zo, dat malware bestaat, die mensen hun bankrekening middels de bank-app kan leegroven. Het pluspunt zou kunnen zijn, dat de banken zullen moeten wachten met het uit faseren van de e-dentifier2.
Opvallend weinig mensen hebben last van Android malware.
Dat is niet zo - en wel logisch ook. Afgezien van recovery door derden (familie van overledene, die het briefje met de pincode gebruiken bijvoorbeeld ) :
heb je zelf ervaring met de vingerafdruk sensor ?
Ik wel, namelijk - en het gebeurt wel (na douchen, of met koude vingers) bijvoorbeeld - dat de sensor mijn vinger niet herkent .
Na een stuk of wat pogingen gaat die dan in een timeout - en valt de telefoon terug naar pincode .
Er is echt wel een goede reden dat een override/alternatieve authenticatie niet persé (ook) de eerste moet vereisen.
Het hele feit dat de malware erop gekomen is - met teveel rechten - is het probleem - daarna is het voor een OS meestal game over .
Het blijft me ook verbazen waarom mensen zo hangen aan die camera schuifjes - als je systeem zo platgehacked is dat aanvallers de cam kunnen bedienen is er _zoveel_ te halen dat je je echt veel zorgen moet maken . ook zonder smoelwerk op cam.
Erg kortzichtige uitspraak. Alsof desktops beter zijn beveiligd? Er zijn veel meer vergelijkbare mogelijkheden op een desktop.
Dat is niet zo - en wel logisch ook. Afgezien van recovery door derden (familie van overledene, die het briefje met de pincode gebruiken bijvoorbeeld ) :
heb je zelf ervaring met de vingerafdruk sensor ?
Ik wel, namelijk - en het gebeurt wel (na douchen, of met koude vingers) bijvoorbeeld - dat de sensor mijn vinger niet herkent .
Na een stuk of wat pogingen gaat die dan in een timeout - en valt de telefoon terug naar pincode .
Er is echt wel een goede reden dat een override/alternatieve authenticatie niet persé (ook) de eerste moet vereisen.
Het hele feit dat de malware erop gekomen is - met teveel rechten - is het probleem - daarna is het voor een OS meestal game over .
Het blijft me ook verbazen waarom mensen zo hangen aan die camera schuifjes - als je systeem zo platgehacked is dat aanvallers de cam kunnen bedienen is er _zoveel_ te halen dat je je echt veel zorgen moet maken . ook zonder smoelwerk op cam.
Je leest ook nergens hoe het er op kan komen.
Het is alleen maar een beschrijving van een stuk malware waar miljoenen varianten van zijn.
Erg kortzichtige uitspraak. Alsof desktops beter zijn beveiligd? Er zijn veel meer vergelijkbare mogelijkheden op een desktop.
Ik zeg toch niet dat desktops beter zijn beveiligd? Ik denk dat er weinig verschil is. Mijn desktop systeem zou ik ook niet gebruiken als enige element in de beveiliging van mijn bankrekening.
Ik gebruik wachtwoord en een hardware token (ING ding) om in te loggen. Dat hardware token is niet verbonden met enig netwerk. Het gebruikt een ingebouwde camera om een code van het beeldscherm van mijn computer te lezen en zegt dan op het scherm wat er geautoriseerd gaat worden en vraagt om de pin in te toetsen. Daarna verschijnt op het schermpje van het hardware token een 7-cijferige code die ik dan weer op mijn computer moet intoetsen. Dit is natuurlijk veel minder snel en gemakkelijk, maar dat moet dan maar.
Linux Mint is een goede distributie waar gemakkelijk mee is te werken.
Linux Mint is een goede distributie waar gemakkelijk mee is te werken.
en waarom is dat zo veilig ? want linux heeft geen virusscanner
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.