Onderzoekers: aanvallers kunnen vingerafdrukken Galaxy S5 stelen

De vingerafdruksensor op de Galaxy S5 en een aantal andere Android-smartphones kan worden misbruikt. Aanvallers kunnen vingerafdrukken uitlezen vanaf de sensor, ontdekten onderzoekers. De kwetsbaarheid is alleen aanwezig in oudere Android-versies dan Lollipop.

Op Android-smartphones wordt de vingerafdruk opgeslagen in een beveiligde zone, die niet vanuit de kernel kan worden uitgelezen en zodoende veilig zou moeten zijn voor aanvallers. Zij kunnen hun pijlen echter wel richten op de input van de sensor, mits oudere versies dan Android 5.0 worden gebruikt, ontdekten twee beveilgingsonderzoekers. Ze presenteren hun bevindingen deze week op de RSA Conference in San Francisco.

Op die manier kunnen de aanvallers nog steeds niet bij de versleutelde zone, maar ze kunnen dan wel de input van de sensor uitlezen op het moment dat een gebruiker zijn vinger op de sensor legt. Onder meer op de Galaxy S5 van Samsung is het probleem te misbruiken, schrijft Forbes. Een gebruiker moet dan wel toegang krijgen op systeemniveau tot een Android-telefoon: dat is een stap lager dan root, maar wel hoger dan 'normale' toegang voor applicaties. Op een aantal andere Android-telefoons, die Forbes niet bij naam noemt, moet een aanvaller wel root-toegang hebben. Een aanvaller kan die toegang krijgen door beveiligingsproblemen in Android te misbruiken.

Overigens is het probleem eenvoudig te omzeilen: gebruikers moeten updaten naar Android 5.0 Lollipop. Met die Android-versie is het probleem uit de wereld, stellen de onderzoekers. Voor de Galaxy S5 is Android 5.0 al beschikbaar; het is onduidelijk of dat ook voor de andere kwetsbare toestellen geldt, aangezien de onderzoekers die niet bij naam noemen. Overigens hebben de Galaxy S6 en S6 Edge ook een vingerafdrukscanner, maar die telefoon wordt met Android 5.0 geleverd en is dus niet kwetsbaar.

Reacties (54)

janchtw 22 april 2015 07:53

Lekker, als iemand er met je vingerafdruk vandoor gaat, daar een 3-D printje van maakt en vervolgens op een plaats delict achterlaat.

Verwijderd @janchtw • 22 april 2015 09:36

Lekker, als iemand er met je vingerafdruk vandoor gaat, daar een 3-D printje van maakt en vervolgens op een plaats delict achterlaat

Bekend onzin argument van tegenstanders van opslag van vingerafdrukken voor misdaadbestrijding.
Vingerafdrukken worden al 100 jaar gebruikt voor het opsporen van misdrijven en er is nog nooit 1 geval bekend van iemand die onterecht is opgesloten vanwege opzettelijk aangebrachte valse vingerafdrukken.

Het is voor een dader heel dom om valse vingerafdrukken aan te brengen omdat ook dat een mogelijk spoor is naar echte dader. Als dader moer je geen sporen achterlaten. Ook geen valse want ook valse sporen kunnen naar jou als dader leiden.

Verder zullen vingeradrukken op een telefoon niet worden opgeslagen als een complete afdruk maar als een patroon van herkenbare elementen. Daar kun je niet zo maar een complete vingerafdruk uit generenen voor een 3D printer

hoogevost @Verwijderd • 8 mei 2015 10:12

Nou: http://www.automatisering...k-bleek-kinderlijk-simpel het gaat in dit artikel misschien wel om een 'verouderd' apparaat maar het artikel is ook alweer een tijdje oud. Vergeet niet dat in alles eigenlijk wel te frauderen valt, bedenk je dan maar dat iemand er met jou vingerafdruk ervandoor gaat? Bedenk je zo bijvoorbeeld de handschoenen met nepvingerafdrukken.

Verwijderd @hoogevost • 8 mei 2015 10:44

Het neppen van een optische schanner is heel wat anders als het aanbrengen van valse vingerafdrukken op een plaats delict.
Is totaal niet met elkaar te vergelijken.

Bovendien is in alle gevallen waarbij een optische scanner is genept ook nog steeds gebruikt gemaakt van een kopie van de originele afdrukken en niet van de digitaal als patroon opgeslagen afdrukken.

n8n @janchtw • 22 april 2015 09:36

Ik weet dat Apple alleen een aantal punten registreert, kan met niet voorstellen dat Samsung een fotokopie maakt. Dan zou het alleen werken als de vingerafdrukken op exact dezelfde punten wordt gecontroleerd door opsporingsdiensten.

Croga

@janchtw • 22 april 2015 08:10

Ja, het hacken van een telefoon is dan echt je beste optie........

Laten we voorop stellen dat vingerafdrukken bij een plaats delict alleen interessant zijn als het gaat om:
- Iemand die, om wat voor reden dan ook, al verdachte is
- Iemand wiens afdrukken geregistreerd staan in de database van de politie
In alle andere gevallen zal de politie er niets mee kunnen doen. En zelfs in dat tweede geval is het niet heel erg zinvol aangezien die persoon ook dan nog eerst als serieuze verdachte aangewezen moet kunnen worden

In deze gevallen is het oneindig veel eenvoudiger om de vingerafdruk te verkrijgen via een glad oppervlak wat deze persoon aangeraakt heeft. Daar hoef je niets voor te hacken, daar krijg je vanzelf meer dan 1 vinger van en het detail is veel hoger (groter oppervlak van de vinger).

Nee, wat "crimineel" gebruik betreft kun je helemaal niets met deze informatie.

janchtw @Croga • 22 april 2015 08:33

Ik stel mij een scenario voor waarbij je niet in de buurt van iemand kunt komen om bv via een glas een vingerafdruk te bemachtigen maar hem of haar er wel in wilt luizen.
Uit jouw verhaal maak ik op dat de politie niets doet met een vingerafdruk als je geen verdachte bent, toch lijkt het me een lastig verhaal als je geen alibi hebt.
Ik kan mij ook best voorstellen dat de politie een kijkje neemt in de landelijke (paspoort)database als er maar geen vooruitgang in een zaak zit. Misschien mag dat niet maar in het verleden zijn al genoeg zaken geweest waarbij overijverige rechercheurs hun boekje te buiten gingen om een onoplosbare zaak rond te krijgen.

MarcoC @janchtw • 22 april 2015 08:34

Ja, dit is inderdaad vele malen makkelijker dan een plastic bekertje waaruit die persoon z'n koffie gedronken heeft mee naar huis te nemen.

Denk eens na. Dat iets mogelijk kan gebeuren wil niet zeggen dat het een reëel gevaar is. Natuurlijk is het niet de bedoeling dat wat in dit artikel beschreven staat mogelijk is, maar laten we eerlijk zijn: is het gevaarlijk? Totaal niet. Een vingerafdruk is nog altijd vele malen veiliger dan een pincode of patroon, aangezien die laatste twee zeer eenvoudig afgekeken kunnen worden en deze methode totaal geen bijzondere skills vereist.

Random filmscenario's voor Die Hard 6 gaan verzinnen en vervolgens denken dat je een security-expert bent is lachwekkend.

parryfiend @MarcoC • 22 april 2015 09:03

Twee woorden: Samsung's betaaldienst.
Deze werkt met de vingerafdrukscanner om betalingen te verifiëren. Dan wordt een handeltje in fingerprints opeens heel erg interessant voor criminelen?

borft @parryfiend • 22 april 2015 10:28

Je moet nog steeds de keys hebben die op de telefoon staan om te kunnen betalen. De vingerafdruk wordt gebruikt om die keys te unlocken, niet om de daadwerkelijke betaling te doen.

parryfiend @borft • 22 april 2015 10:36

Ik hoop het voor Samsung, anders hebben ze een hele kluif om Samsung pay aan de man te brengen. Zelfde geldt voor Apple natuurlijk.

sygys @borft • 22 april 2015 13:18

Daarnaast moet je zoals ik het kan lezen als "hacker" sowiezo hogere toegang hebben dan normaal.

Als ik mijn boerenverstand hier op los laat dan moet een hacker dus jou telefoon te pakken zien te krijgen. Het toestel rooten en software installeren en het weer aan je terug geven zonder dat je het merkt. vervolgens moet je actief de vinger afdruk scanner gebruiken waarna deze voor hele korte tijd onderschept kan worden. Vervolgens moet de hacker een 3d print maken van je vingerafdruk, weer je telefoon zien te bemachtigen om er vervolgens een betaling mee te kunnen doen...

Lekker belangrijk dit weer! Je hebt nog meer kans dat je in een vliegtuig neer stort dan dat dit je overkomt.

MarcoC @parryfiend • 22 april 2015 12:27

Dat is two-factor, dus relatief veilig.

Michaelr1 @MarcoC • 22 april 2015 09:25

Thuis vanachter je computertje een telefoon hacken en een vingerafdruk buit maken is voor sommige mensen inderdaad makkelijker dan een plastic bekertje jatten.

Je opmerking over filmscenario's maakte men ook altijd over de NSA. De overheid zou bijvoorbeeld de telefoon van een persoon kunnen hacken om zijn vingerafdruk buit te maken, terwijl deze nog niet in de database beschikbaar is. Is misschien niet rechtsgeldig, maar dan weten ze wel of ze hen tijd in die persoon moeten investeren ja/nee.

Is zomaar een scenario wat in me op komt die zeer realistisch is gebleken. Als er allerlei vingerafdrukken op straat liggen is het voor een crimineel ook makkelijker om de politie te misleiden en iemand anders vast te zetten voor je criminele activiteiten. Er zitten een hoop mensen onschuldig vast op dit moment op basis van vervalst bewijs, omdat ze een zondebok nodig hadden.

borft @Michaelr1 • 22 april 2015 11:21

Veel mensen lijken te denken dat je op basis van de output van de vingerafdrukscanner een vingerafdruk kan reconstrueren. Zo werkt het over het algemeen niet. De scanner registreert een aantal kenmerken die een vingerafdruk uniek maken, deze informatie is totaal iets anders dan een daadwerkelijke afdruk van je vinger!

BUR @Michaelr1 • 22 april 2015 12:03

De amerikaanse regering heeft al mijn vingerafdrukken sinds mijn laatste bezoek(eerste keer dat ik als volwassen persoon ging) Daar hoeven ze geen telefoon voor te hacken!

kramer65 @MarcoC • 22 april 2015 08:56

Een vingerafdruk is nog altijd vele malen veiliger dan een pincode of patroon, aangezien die laatste twee zeer eenvoudig afgekeken kunnen worden en deze methode totaal geen bijzondere skills vereist.

Met dat verschil dat je een pincode makkelijk kan wijzigen en je vingerafdruk niet.

Verwijderd @kramer65 • 22 april 2015 13:13

Een pincode is echter puur een beveilingsmiddel en een vingerafdruk een identificatiemiddel.

Je kunt een vingerafdruk dan voor meerdere doelen inzetten.
Ook voor beveiliging (omdat iemands identiteit verifieren daar een onderdeel van kan zijn) maar het verifieren van de identiteit moet dan wel onderdeel zijn van een gelaagde beveliging met ook andere beveilingsmaatregelen.

MarcoC @Bilel • 22 april 2015 09:49

Dat slaat nergens op. Ik citeer mezefl:

Dat iets mogelijk kan gebeuren wil niet zeggen dat het een reëel gevaar is.

Daar gaat het om: is het een reëel gevaar? Moet je je zorgen maken? Dat soort vraagstukken worden nooit beantwoord op Tweakers. Men redeneert altijd (Joost Schellevis voorop, wat dat betreft vind ik hem een slechte sensatiezoekende journalist): het kan gebeuren, dus het is gevaarlijk. Risico = kans * impact. Joost vindt alleen impact belangrijk, terwijl voor ons (Tweakers, gebruikers, Jan Modaal), risico belangrijk is, en dus ook kans!

Ik rijd elke dag meer dan 100 kilometer met >100km/h over de snelweg. Duizelingwekkende snelheden waarbij van alles fout kan gaan met alle mogelijke gevolgen van dien. Toch maak ik me geen seconde zorgen. Waarom is dat denk je?

[Reactie gewijzigd door MarcoC op 23 juli 2024 15:37]

vali @MarcoC • 22 april 2015 10:36

Dat is hetzelfde als criminelen achter je gegevens van je creditcard komen. Is dit een gevaar voor de creditcardhouder? Ja want je rekening kan leeggeplunderd worden.

Dat vingerafdrukken gestolen kunnen worden zou ik als user totaal niet fijn vinden en eigenlijk geven dit soort nieuwsberichten van Samsung de reden waarom ik nooit diensten van Samsung zou gebruiken. Met Knox hebben ze in het verleden ook laten zien dat hun security totaal niet op orde is en devices zeer gemakkelijk gehacked kunnen worden. De vraag is, waar kunnen criminelen vingerafdrukken nog meer voor gebruiken? Wat dacht je voor het namaken van ID-kaarten? Nu nog een leuk spel in de Playstore zetten die veels te veel prive gegevens opvraagt en je hebt grotendeels van de gegevens al binnen.

calvinturbo @vali • 22 april 2015 11:36

iOS had ook beveiligingsproblemen met de vingerafdrukscanner. Kwestie van oplossen

vali @calvinturbo • 22 april 2015 11:38

Verschil is wel dat die hack alleen mogelijk maakte om met een nagemaakte vingerafdruk binnen te komen. Dat is een groot verschil, want hier kan men de vingerafdruk kopiëren en voor andere doeleinde gebruiken.

Verwijderd @vali • 22 april 2015 12:02

Dat is maar de vraag.
Het is niet zo maar te stellen dat de data die Samsung opslaat over en vingerafdruk gebruikt kan worden om een ander scanmechanisme te neppen.
Er is niet 1 vast algoritme voor het herkennen van vingerafdrukken.

Verwijderd @vali • 22 april 2015 10:43

De vraag is, waar kunnen criminelen vingerafdrukken nog meer voor gebruiken? Wat dacht je voor het namaken van ID-kaarten?

Dat is niet logisch (met het huidige systeem van vingerafdrukken).
Je kunt beter de vingerafdrukken op een ID kaart zetten van iemand die de kaart daadwerkelijk gebruikt.

Alleen als je een centrale database met vingerafdrukken hebt kun je controleren of op een ID kaart de juiste vingerafdrukken geregistreerd staan maar een centrale database is verworpen door de politiek.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:37]

Probook8979 @janchtw • 22 april 2015 07:55

Of beter zelfs, door verkoopt aan bedrijven = $$$.

Omdat fingerprints zijn uniek en kun je veel informatie vandaag halen of zelfs koppelen.

[Reactie gewijzigd door Probook8979 op 23 juli 2024 15:37]

MokaNi 22 april 2015 09:28

Ik heb de Galaxy S5 en gebruik de vingerafdrukscanner voor m'n lockscherm. Werkt verder prima.

Weet iemand of de Android 5.x update al beschikbaar is voor Vodafone klanten? Samsung KIES geeft iedere keer aan dat ik al de laatste firmware heb, terwijl ik nog steeds op 4.4 zit

borft @MokaNi • 22 april 2015 11:22

Eventueel kan je hem ook gewoon van sammobile downloaden en zelf erop flashen met Odin

Ruw ER 22 april 2015 08:04

Okay de beveiliging is niet goed, maar er moet wel erg veel moeite gedaan worden om een vingerafdruk te verkrijgen, en, wat kan je met een vingerafdruk? Je laat de hele dag overal vingerafdrukken achter.

Vind dit een beetje een raar onderzoek, maar goed, beveiligings issues onderzoeken kan nooit kwaad laten we maar zeggen.

jollewieringa 22 april 2015 08:25

Van Samsung, LG, Motorola en HTC kan je nog verwachten dat ze redelijk omgaan met de software en de data op je Android. Ik maak mij wel veel zorgen om de stroom van hele goedkope knockoffs die steeds meer uit China komen. Die zitten regelmatig vanuit de fabriek al vol met malware (zo uit mijn hoofd had PCWorld een aantal zeer goedkope tablets gekocht, in normale winkels en die zaten er vol mee).

Straks als die hun apparaten ook gaan uitvoeren met vinger afdruk scanners, etc....

Tjolk 22 april 2015 11:31

Titel: Aanvallers kunnen vingerafdrukken van de Samsung Galaxy S5 stelen. Vervolgens in de tekst:

Overigens is het probleem eenvoudig te omzeilen: gebruikers moeten updaten naar Android 5.0 Lollipop. Met die Android-versie is het probleem uit de wereld, stellen de onderzoekers. Voor de Galaxy S5 is Android 5.0 al beschikbaar;

Nu zal niet iedereen al die update op zijn of haar toestel hebben, maar ik denk dat dit, in combinatie met de systeemtoegang die vereist is wel een schaars scenario kan zijn. Toch suggereert de titel dat er iets grondig mis is. Beetje jammer wel van een serieuze tech-site.

roches 22 april 2015 15:35

Gelukkig heb ik Lollipop al draaien op m'n S3....

rogier1974 22 april 2015 08:00

Ik denk dat heel veel van deze "beveiligings problemen" verholpen kunnen worden als de mensen hun telefoon met rust laten en niet gaan prutsen in de originele software. geen illegale downloads die malware kunnen bevatten geen zelfbouw apps installeren als je niet weet waar ze vandaan komen

moijamie @rogier1974 • 22 april 2015 08:03

Iets te snel gelezen je hebt gelijk nog geen koffie gehad

[Reactie gewijzigd door moijamie op 23 juli 2024 15:37]

rogier1974 @moijamie • 22 april 2015 08:06

[quote] "Een gebruiker moet dan wel toegang krijgen op systeemniveau tot een Android-telefoon: dat is een stap lager dan root, maar wel hoger dan 'normale' toegang voor applicaties."

dan heb ik er in mijn ogen al in zitten prutsen lijkt me

jorikc

@rogier1974 • 22 april 2015 09:23

Niet per se, er worden zo nu en dan beveiligingsproblemen gevonden in privilege escalations. (iets verder in het bericht:)
"Een aanvaller kan die toegang krijgen door beveiligingsproblemen in Android te misbruiken."

Dat is een beetje een open deur natuurlijk, maar dit probleem doet zich ook alleen voor met een Android versie pre-Lollipop. En als je dan een oudere versie gebruikt (al dan niet omdat de fabrikant geen updates geeft) dan zit je toch wel een vervelende situatie.

Het probleem bij dit soort hacks is niet zo zeer dat het makkelijker is om een vingerafdruk van een beker te halen, maar dat dit soort hacks natuurlijk op grote schaal misbruikt zouden kunnen worden via malware i.p.v. dat iemand fysieke toegang tot jou of the telefoon hoeft te hebben.

Iblies @nms2003 • 22 april 2015 08:58

Aan de andere kant kan een dergelijke dissaster wel wenselijk zijn.

Als de vingerafdrukken van ruim een miljard mensen op straat ligt, is die voor een groot aantal zaken onbruikbaar geworden.

Niemand die vervolgens kan en zal claimen dat inloggen met je vingerafdruk zo persoonlijk is dat het hartstikke veilig is. Om dat weer te bereiken zal er aanvullende maatregelen moeten komen zoals de klassieke pincode.

Verwijderd @Iblies • 22 april 2015 10:55

Als de vingerafdrukken van ruim een miljard mensen op straat ligt, is die voor een groot aantal zaken onbruikbaar geworden

Aan de andere kant is dat voor andere zaken weer heel interessant.

MarcoC @Probook8979 • 22 april 2015 08:40

Boeiend dat dit soort issues ontstaan. Zal ongetwijfeld gefixt worden Een vingerafruk is vooral bedoeld om makkelijker en gebruiksvriendelijker te zijn. Dit in tegenstelling tot wat de meeste Tweakers denken, dat het veiliger zou moeten zijn. Het is wel veiliger, maar dat is niet het doel.

Bij de iPhone (en ongetwijfeld ook voor de S5 en S6) is het unlocken door middel van de vingerafdruk sneller dan een pincode en zelfs sneller dan unlocken zonder beveiliging! Voordeel: gebruiksvriendelijker[ en makkelijker. Dit heeft tot gevolg dat een veel hoger percentage telefoons überhaupt een beveiliging heeft ingesteld. Een mooi neveneffect is dat de gemiddelde iPhone-beveiliging dus ook opgekrikt is.

Met andere woorden: oogkleppen af en probeer te beseffen dat vingerafdruksensoren vooral bestaan ten behoeve van het bevorderen van de gebruiksvriendelijk en slechts indirect ten behoeve van het verbeteren van veiligheid.

Verwijderd @MarcoC • 22 april 2015 10:58

Een vingerafruk is vooral bedoeld om makkelijker en gebruiksvriendelijker te zijn. Dit in tegenstelling tot wat de meeste Tweakers denken, dat het veiliger zou moeten zijn. Het is wel veiliger, maar dat is niet het doel.

Precies.
Dat is exact waarom het draait.
Vingerafdrukken zijn niet veilig maar handig.
Je kunt vingerafdrukken gebruiken om iemand te identificeren maar eingelijk niet om zaken te beveiligen.

Zapato @Probook8979 • 22 april 2015 12:38

http://www.huffingtonpost.com/2014/12/30/hack-phone-fingerprint-photographs_n_6395730.html

computerjunky @Probook8979 • 22 april 2015 14:20

Misschien is het bij apple gewoon niet interessant genoeg om te exploiten en kloten door criminelen.
Meer dan 80% gebruikt nu immers een android device dus waarom zou je je limiteren bij je poging tot criminaliteit tot nog geen 18% van de markt.

OkselFris @computerjunky • 22 april 2015 14:39

Nou is dat wel een grappige stelling. Op een 1 of andere manier wordt het markt aandeel erbij gehaald als een excuus, je ziet het ook bij virus discussie.
IOS is denk ik wel zeer interessant, want de opbrengsten bij deze groep zijn hoog. (kijk naar accessoires makers, developpers etc.) schijnbaar is het een zeer actieve en daardoor dus aantrekkelijke groep welke wat uit wil geven.
Ik zou mij richten op de groep waar het meest te halen is. Ik vermoed dat die 80% niet allemaal interessante gebruikers zijn. (Zeer goedkope devices, onderkant van de markt waar je een grote groep gebruikers hebt, die het minimaal zal gebruiken)

Daarbij is de 80% zeer versnippert wat betreft versie. Een exploit werkt meestal maar op een bepaalde versie. Bij IOS is de versnippering van de versies minder groot, dus als ik een exploit voor de laatste versie weet te vinden, dan heb ik waarschijnlijk direct een hele grote groep te pakken.

Het is maar hoe je het bekijkt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (54)

Sorteer op:

Weergave: