Vingerafdruk beveiligt smartphone niet goed
Lekker makkelijk, zo'n vingerafdruksensor. Maar lekker onveilig ook, blijkt nu uit onderzoek. Voor je het weet, betaalt of bankiert de 'oneerlijke vinder' met je smartphone en een kunstmatige vingerafdruk, als je de betaalfunctie geactiveerd hebt.
© Pixabay CC0 Public Domain
Pixabay CC0 Public Domain
Die conclusie trekken onderzoekers van de New York University en de Michigan State University. In computersimulaties bleken ze in staat een setje universele 'master'-vingerafdrukken te ontwikkelen die in 65 procent van de gevallen pasten op de vingerafdruk die in de smartphone is opgeslagen.
Vingerafdruksensor te klein
Dat lijkt op het eerste gezicht raar. Vingerafdrukken worden immers als veilige identificatiemiddelen beschouwd omdat ze zo lastig na te bootsen zijn. Maar dat geldt alleen wanneer gewerkt wordt met volledige vingerafdrukken. Dat doen smartphones niet. De sensor die gebruikt wordt om de vingerafdruk te nemen, is daarvoor te klein. Daardoor werkt het systeem met een gedeeltelijke vingerafdruk. Bovendien maakt de smartphone bij het opzetten 8 tot 10 afbeeldingen van de vinger om het makkelijker te maken een overeenkomst te vinden. Veel smartphone-eigenaren vergroten de risico's ook zelf nog eens, door van meer dan één vinger een afdruk op te slaan. "Het is alsof je 30 wachtwoorden hebt, en de aanvaller hoeft er maar eentje te raden", zegt Nasir Memon, één van de onderzoekers.
Slagingskans valse vingerafdruk onduidelijk
De onderzoekers hebben hun 'moeder'-vingerafdrukken niet in de praktijk getest. Daardoor is onduidelijk of de slagingskans van een kraak in de praktijk ook 65 procent is. Experts die zijn bevraagd door de New York Times denken dat dat in de praktijk niet zo vaak lukt. Maar zelfs een slagingskans van 1 op 10 zou al heel vervelend zijn, zeker ook wanneer smartphones als betaalmiddel worden ingezet. Dr. Nasir Memon denkt dat het in de praktijk veel erger zal zijn, als iemand erin zou slagen de 'moeder'-vingerafdrukken in een handschoen te verwerken. Doordat smartphones in de regel 5 pogingen toestaan voordat ze terugvallen op de pincode, zou een slagingspercentage van 40 tot 50 zeker haalbaar zijn, denkt Memon.
Het hangt er dan wel van af of de smartphone in kwestie nog aanvullende methoden gebruikt om vast te stellen of een vingerafdruk ook echt aan een vinger zit, bijvoorbeeld door te meten of er sprake is van vocht op de huid, of door patronen dieper in de huid te meten met ultrageluid. Die laatste techniek wordt door Qualcomm ontwikkeld.
Aanvullende maatregelen fabrikanten onbekend
Wat smartphonefabrikanten op dit moment precies doen om de werking van de vingerafdruksensor te borgen, is onduidelijk. Wel stellen ze dat de technologie zeker heeft geholpen om smartphones beter te beveiligen. Dankzij het gebruiksgemak zijn de eigenaren van smartphones veel sterker geneigd hun smartphones te (laten) vergrendelen als ze ze even niet gebruiken. De keerzijde daarvan is natuurlijk wel dat de fabrikanten het gebruiksgemak niet willen ondergraven door de vingerafdruksensor scherper af te stellen.
Wie het veilige voor het onveilige wil nemen, kan toch beter terugvallen op de pincode, zolang onduidelijk blijft hoe groot het gevaar van 'moeder'-vingerafdrukken is. Dat geldt zeker voor betaalfuncties via de smartphone.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee