Bol.com laat klanten vanuit Android-app bestellen met vingerafdruk

Webwinkel Bol.com heeft een update voor zijn Android-app uitgebracht die het mogelijk maakt om in te loggen en bestellingen te plaatsen met een vingerafdruk. Volgens Bol.com werkt de functionaliteit op alle Android-toestellen met een vingerafdrukscanner.

De webwinkel noemt de nieuwste toestellen van Samsung, HTC en Huawei als voorbeeld, maar het moet ook op andere Android-apparaten met een vingerafdrukscanner werken, aldus Bol.com. De functionaliteit werkte eerder al in de iOS-versie van de app. Het ondersteunen van vingerafdrukscanners is op Android echter ingewikkelder.

Bij iOS hoeven ontwikkelaars enkel ondersteuning voor één api in te bouwen. Android-fabrikanten gebruiken momenteel ieder een eigen api voor hun vingerafdrukscanners. Google voegde in Android 6.0 zelf ondersteuning toe voor dergelijke scanners met een bijbehorende universele api. Er zijn echter weinig smartphones die op de nieuwste versie van Android draaien en fabrikanten kunnen er ook voor kiezen om hun eigen api te blijven gebruiken.

Bol.com zegt de eerste winkel in Nederland en België te zijn die online bestellen met een vingerafdruk mogelijk maakt. Klanten die met iDEAL bestellen, zullen hun betaling nog op een andere manier moeten autoriseren. ING-klanten kunnen dat op iOS-apparaten met een vingerafdruk doen. Bestellingen met een creditcard kunnen wel met een enkele vingerafdruk afgehandeld worden.

IT-banen

Reacties (47)

To easy 22 januari 2016 12:02

Gaan we nu zeker in de toekomst op het nieuws lezen "Vrouw snijd vinger van man af, om zo de online koopverslaving te bekostigen" haha.

OT: Worden er nu gegevens aan je vingerafdruk verbonden of? En gaat bol.com ook deze vingerafdrukken opslaan? Ik dacht namelijk dat alleen de overheid die vingerafdrukken mag bewaren.

sab @To easy • 22 januari 2016 12:05

Lijkt me dat de app geen gegevens gaat doorgeven, maar van het onderliggend OS meekrijgt of de vingerafdrukcheck wel of niet geslaagd is. Geen enkele reden om meer data te geven of krijgen.

bbob

E-commerce

@sab • 22 januari 2016 13:06

Android apps vragen tegenwoordig veel te veel informatie, sommige apps meer dan ze nodig hebben.

Vingerafdruk is leuk maar wie zegt dat deze niet naar bol gaat. Die komt weer in een database en die vliegen dan ergens weer een keer het internet op.
Sterker nog de politie zou die gegevens kunnen vorderen in een onderzoek van bol en vingerafdrukken van veel nederlanders aan de database kunnen toevoegen.

AmbroosV @bbob • 22 januari 2016 13:30

Android staat geen raw access van de fingerprint reader toe. De authenticatie zelf zit diep in de drivers, en alle (afgeleide) vingerafdrukdata zit in secure storage. Je moet mensen ook niet bang maken voor dingen die niet gevaarlijk zijn.

Verwijderd @AmbroosV • 23 januari 2016 15:07

En wie zegt mij dat ook die data niet benaderbaar is ?
Motto: ga gewoon zeer voorzichtig te werk en pas op met wat je afgeeft.

Wolfos @bbob • 22 januari 2016 13:30

Dat is niet hoe die API's werken. Je krijgt helemaal geen vingerafdruk, alleen het bericht of de authenticatie geslaagd is of niet.

Daarnaast, voor bedrijven is het totaal niet interessant om een database van vingerafdrukken op te bouwen.

[Reactie gewijzigd door Wolfos op 27 juli 2024 05:36]

sab @bbob • 22 januari 2016 23:00

Vingerafdruk is leuk maar wie zegt dat deze niet naar bol gaat.

De specs van de API dus.

Die komt weer in een database en die vliegen dan ergens weer een keer het internet op.
Sterker nog de politie zou die gegevens kunnen vorderen in een onderzoek van bol en vingerafdrukken van veel nederlanders aan de database kunnen toevoegen.

Des te meer reden voor bol.com om al die gegevens helemaal niet te willen. Zitten alleen maar nadelen aan, en geen enkel voordeel.

kaas-schaaf @To easy • 22 januari 2016 12:52

Nee, de afdruk zelf wordt (als het goed is, je weet het nooit) niet opgeslagen maar een afgeleide daarvan. Of de data enkel gehashed word opgeslagen en niet als derived data in een secure element, kan ik niet zeggen, dat hangt van de implementatie af. Echter, de meeste telefoons (zoals o.a. Apple apparaten) geven dezelfde rechten bij het invoeren van de oude 'master' passwords ofwel 4 cijferige codes wat de 'veiligheid' niet bepaald hoog maakt tov 8 digit wachtwoorden. (Ik weet dat dit recentelijk verhoogd is naar 6, maar dat doet vrij weinig, zeker omdat de default nog steeds 4 cijfers is en niet 6 of meer alphanumeriek).

Jouw andere opmerking geeft gelijk het probleem met vingerafdrukken aan voor authorizatie: Ze zijn niet vervangbaar. Authenticatie kan (laten zien wie je bent, zonder dat daar rechten aan verbonden zijn, iets dat equivalent is aan je gebruikersnaam), maar iets authorizeren (toestemming geven door een bewuste actie) niet, simpelweg omdat bij verlies of kopie (wat helaas nog steeds prima te doen is) het niet vervangen kan worden.

note: ik zit net de apple secure enclave site te lezen, en ze slaan gewoon de afgeleide data (representatie van de afdruk) op, wat effectief neerkomt op de volledige vingerafdruk. Dit is eigenlijk ook wel nodig omdat je anders 100% dezelfde configuratie moet hebben en dus je vinger op 100% dezeflde plek moet staan iedere keer. Echter, dit zit vermoedelijk in een hardware secure element wat het ophalen een stuk moeilijker maakt (tot vrijwel onmogelijk voor veel van de 'hackers').

[Reactie gewijzigd door kaas-schaaf op 27 juli 2024 05:36]

arjankoole @kaas-schaaf • 22 januari 2016 13:59

wat effectief neerkomt op de volledige vingerafdruk.

Nee, juist niet. Van de data die in Apple's secure enclave staat kan niet de afbeelding van een vingerafdruk gegenereerd worden. De driver vergelijkt alleen wat hij van de scanner haalt met wat in de secure enclave staat, maar de werkelijke vingerafdruk wordt er niet opgeslagen. (effectief een hash van, alleen dan iets meer gedetaileerd/complex)

kaas-schaaf @arjankoole • 22 januari 2016 14:17

Heb je hier meer info over? De tekst zegt "Mathematical representation", en voor biometrische data betekend dat meestal een 'afbeelding' (verkeerd woord hier door ambiguiteit, mapping zou wellicht beter zijn) van het originele. Of die reversible zijn weet ik niet (e.g. of je, mocht je ze ooit krijgen, als input in de SE van de telefoon kan stoppen en een match kan genereren). De vraag is dan wat ze op slaan. Een hash op zich lijkt me ondoenelijk omdat dit een one-way functie is met lage collission mogelijkheden en je wilt juist dat je ook met partitiele data (de vinger enigsinds schuin houden) een match kan maken.

Maar ik kan het hier volledig mis hebben.

sidenote: Het uit de SE halen van de vingerafdrukdata data is extreem moeilijk en voor de meeste real-world toepassingen totaal niet interessant. Het is makkelijker om de 4-pin te gokken. De vraag is simpelweg omdat ik het interessant vind wat ze nu werkelijk opslaan.

[Reactie gewijzigd door kaas-schaaf op 27 juli 2024 05:36]

arjankoole @kaas-schaaf • 22 januari 2016 14:29

Heb je hier meer info over?

Maar natuurlijk, uit dit support artikel:

It stores only a mathematical representation of your fingerprint. It isn't possible for someone to reverse engineer your actual fingerprint image from this mathematical representation.

Verwijderd @kaas-schaaf • 23 januari 2016 15:11

Maakt niet uit !
Ooit is die vinger een keer gescand en daar komt data uit die hoe dan ook uitwijst dat het jouw vinger pink of duim was. Dat wordt vastgelegd en keer op keer gecontroleerd.

Andersom mag je dus zeggen dat deze dienst al referentie en ergens staat genoteerd, dus waarom zou een bedrijf niets hebben aan deze (secured ?) data ?
Het lijkt me sterk dat die data niet te kopieren is.

Het vergaren van private info, even los van wat we zelf allemaal mededelen, is een must geworden. iris scans, vingerafdrukken , connected cars... en zo kan je nog wef even doorgaan.

dimitrimissinne @To easy • 22 januari 2016 12:30

En gaat bol.com ook deze vingerafdrukken opslaan? Ik dacht namelijk dat alleen de overheid die vingerafdrukken mag bewaren.

Er wordt ook helemaal geen vingerafdruk bewaard op je toestel. Enkel een hash van je vingerafdruk wordt op je toestel bewaard. Ik het geval van Apple wordt deze bewaard in de Secure Enclave. Geen idee hoe het bij Android werkt, maar als ze met je veiligheid begaan zijn zal het wel iets gelijkaardigs zijn.

Armin @To easy • 22 januari 2016 18:12

Gaan we nu zeker in de toekomst op het nieuws lezen "Vrouw snijd vinger van man af, om zo de online koopverslaving te bekostigen" haha.

Nu zal dat wel loslopen, maar het geeft wel aan waarom vingerafdrukken als authenticatie (wachtwoord) ongeschikt zijn. Je kunt het niet veranderen. En in de toekomst zal het mogelijk worden om de digitale versei van je vingerafdruk te stelen. Intern in het vingerafdruksysteem immers is het gewoone en reeks 1-en-0-en.

Vingerafdrukken net als iris etc is uitstekend als identifciatie (gebruikersnaam), maar als wachtwoord inherent onbruikbaar. Het is puut de technische lastigheid - waar je op dit moment inderdaad een vinger moet afhakken of moeilijk met plastic/rubbelen mallen etc - moet werken die het 'veilig' maakt.

Ik houd het dus liever bij een wachtwoord/PIN met goede multi-factor authenticatie. Lastig wellicht, maar ik voel me er wel veiliger bij.

CyberMania @Armin • 22 januari 2016 18:51

Nu zal dat wel loslopen, maar het geeft wel aan waarom vingerafdrukken als authenticatie (wachtwoord) ongeschikt zijn. Je kunt het niet veranderen. En in de toekomst zal het mogelijk worden om de digitale versei van je vingerafdruk te stelen.

Hoezo kan je het niet veranderen?

Je hebt toch 10 vingers.

SpoekGTi @To easy • 22 januari 2016 18:57

Bol.com doet niets anders dan de API zeggen dat jou afdruk gekoppeld zit aan het wachtwoord van je bol.com account.....

Kortom er gaat geen vingerafdruk naar Bol.com, hell voor de app is het alleen een short voor je password (althans op iOS)

Waar de data van jou afdruk op je toestel staat dan wel of niet toegankelijk of versleuteld hangt weer van de fabrikant af

Wel fijn dat Android fabrikanten dus allemaal andere API's gebruiken voor 1 functie, dat houd het lekker makkelijk NOT.

Jeroen_DB 22 januari 2016 12:03

Net getest om iets te bestellen met mijn Oneplus two en ik kan niet afrekenen met mijn vingerafdruk.

Of moeten Belgische banken dit ook nog ondersteunen?

[Reactie gewijzigd door Jeroen_DB op 27 juli 2024 05:36]

Isotope5004 @Jeroen_DB • 22 januari 2016 12:50

Oneplus maakt niet gebruik van de standaard APIs van Google (of iets in die richting) voor de vingerafdrukscanner, het werkt dus niet met andere apps.

WCA

@Isotope5004 • 22 januari 2016 13:05

Samsung ook niet toch? Daar werkt het wel mee volgens het artikel

Jorrie @WCA • 22 januari 2016 13:09

Samsung is dan ook iets groter en meer ondersteunt.

shejaidon @Jeroen_DB • 22 januari 2016 17:29

In dit kwartaal komt de update voor Android 6.0 uit waarbij de Google api wordt gebruikt ipv oneplus eigen api. Vanaf dan zou het dus moeten werken.

OT : leuk maar voor mij nog een gimmick gezien ABN AMRO nog geen vingerafdruk accepteert

SuperDre 22 januari 2016 13:37

Het zal de fabrikanten die nu eigen API's gebruiken toch wel zeker sieren om bij overgang naar Android 6 toch zeker OOK de standaard API's te ondersteunen, anders weet ik wel welke telefoons ik niet zal kopen als opvolger.. Das het voordeel weer van zo'n Nexus device, dan heb je dat gezeur niet zo..

fifarunnerr @SuperDre • 22 januari 2016 15:14

Sterker nog, dat is vanuit Google uit verplicht. Voor devices met Android 6.0 staat er in het Compatibility Definition Document*:

If a device implementation includes a fingerprint sensor and has a corresponding API for third-party developers, it:
- MUST declare support for the android.hardware.fingerprint feature.
- MUST fully implement the corresponding API as described in the Android SDK
documentation [Resources, 95].

http://static.googleuserc...atibility/android-cdd.pdf

* Alle devices die de Google apps(en dus Play Store) willen hebben moeten hieraan voldoen.

dutchgio 22 januari 2016 12:04

Hoe kun je testen of dit werkt? Alleen door meteen een bestelling te doen?
Ben wel benieuwd of Bol.com gelijk heeft met stellen dat het met elk toestel met een vingerafdrukscanner werkt door het te testen op m'n Redmi Note 3.

Verwijderd @dutchgio • 22 januari 2016 12:06

Je hebt het recht om 7 dagen na je online aankoop de transactie nog te annuleren.

Dus om het te testen zoek je het duurste goedkoopste uit wat bol maar op voorraad heeft en daarna cancel je het meteen. Kan ook via de app.

(Excuses aan de bol.com medewerkers die mijn grapje niet zo leuk vonden)

[Reactie gewijzigd door Verwijderd op 27 juli 2024 05:36]

dutchgio @Verwijderd • 22 januari 2016 12:09

Ik kom tot aan het betaalscherm, maar nergens een melding om met vingerafdruk te betalen of dit uberhaupt ergens aam te zetten.

Verwijderd @dutchgio • 22 januari 2016 12:13

Geen idee. Bij IOS zou het al een jaar in de app moeten werken, maar ik gebruik de app niet. Ik vind dit typisch weer zo'n app waarbij de website voor mij ook goed genoeg werkt.

dakathefox @Verwijderd • 22 januari 2016 17:19

Je hebt het recht om 7 dagen na je online aankoop de transactie nog te annuleren.

Het herroepingsrecht is al ruim anderhalf jaar wettelijk vastgesteld op 14 dagen.

Fuzzillogic 22 januari 2016 12:52

Gebeurt dit gewoon met U2F/UAF, of hebben ze weer hun eigen propriëtaire dingetje gemaakt dat maar op een paar toestellen werkt en waar de gebruiker geen invloed op heeft?

Garret1410 22 januari 2016 13:51

De galaxy S6 gebruikt in Android 6.0 de Google API, dus dat moet werken. Dit is ook handig ivm met AOSP rom

Amadeus1966 22 januari 2016 14:43

Mooi dat dat kan....nu nog even wat aan hun prijzen doen.
Oudejaars en nog oudere Smartphones e.d. worden nog vaak tegen de introductieprijs verkocht.

annedeg 22 januari 2016 15:36

Misschien is het ook handig voordat je het gaat uitproberen ook de app te updaten

maxxware 22 januari 2016 15:53

Handig! Want als je vingerafdruk - die je in tegenstelling tot een wachtwoord - overal laat slingeren gelift wordt en dus misbruikt kan worden, wijzig je heel handig even je vringerafdruk. Oh... wacht...

jpm.lensen

22 januari 2016 16:32

Ik heb versie 1.4 (89) op mijn toestel staan, sony xperia Z5, maar ik zie de optie nog niet. (en geen pending bol.com app, update, maar ik zie wel staan, dat hij op 14 jan bijgewerkt is, mogelijk moet ik nog wat geduld hebben......)

en ik heb wel vingerafdruk lezer, maar helaas nog geen support ben ik bang.

hoop binnenkort android 6 te hebben

[Reactie gewijzigd door jpm.lensen op 27 juli 2024 05:36]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: