Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 76 reacties

Apple en Mozilla hebben een patch uitgebracht voor een aanvalsmethode, waarbij websites op de achtergrond de pincode van gebruikers kunnen afluisteren via data van de gyroscoop. Google heeft erover getwijfeld om die fix te implementeren, maar is bang dat het websites te veel zal beperken.

De patch zit in iOS 9.3, dat in maart vorig jaar uitkwam, en in Firefox 46. Gebruikers van Chrome zijn ondanks dat Britse onderzoekers hun bevindingen meer dan een jaar geleden hebben gedeeld nog steeds kwetsbaar, merken Britse onderzoekers op in een onderzoek naar de gevaren van het afluisteren van pincodes via data van de gyroscoop. De wetenschappers stelden browsermakers voor publicatie van hun bevindingen in februari vorig jaar op de hoogte en Apple en Mozilla ondernamen toen binnen korte tijd actie.

De fix van Mozilla en Apple bestaat eruit dat alleen websites die op de voorgrond staan data van de gyroscoop mogen uitlezen. Dat voorkomt dat websites op de achtergrond data van de gyroscoop kunnen uitlezen en daaraan kunnen afleiden welke cijfers de gebruiker heeft ingedrukt - en dus welke pincode hij of zij heeft op de smartphone. De onderzoekers hielden vorig jaar een experiment, waarbij het na vijf pogingen altijd lukte om de juiste pincode af te luisteren met behulp van data van de gyroscoop. Dat komt doordat de druk van de vingers op bepaalde plekken op het scherm een kleine beweging veroorzaakt in de telefoon die de gyroscoop kan uitlezen.

Ontwikkelaars van Chromium weten van de aanvalsmethode, maar hebben de fix uiteindelijk niet doorgevoerd. Zij waren bang dat websites in de toekomst minder kunnen doen met kaarten en video's die afhankelijk zijn van data van sensoren. Zij redeneren dat we nu nog niet weten welke data zij in de toekomst nodig hebben op de achtergrond. Toestemming vragen van gebruikers zou bovendien zinloos zijn, omdat zij de implicaties minder goed kunnen overzien dan bij toestemming bij gebruik van de camera of gps.

Het is niet de eerste keer dat onderzoekers manieren vinden om uit te vissen welke code gebruikers op een smartphone hebben. Zo was er eerder een methode via microfoon en camera, terwijl vegen op het scherm een indicatie zijn als gebruikers van Android-telefoons een patroon gebruiken voor de ontgrendeling. De opkomst van vingerafdrukscanners op smartphones maken dergelijke aanvallen minder effectief, omdat mensen daarmee veel minder vaak een code invoeren.

Moderatie-faq Wijzig weergave

Reacties (76)

Ontwikkelaars van Chromium weten van de aanvalsmethode, maar hebben de fix uiteindelijk niet doorgevoerd. Zij waren bang dat websites in de toekomst minder kunnen doen met kaarten en video's die afhankelijk zijn van data van sensoren. Zij redeneren dat we nu nog niet weten welke data zij in de toekomst nodig hebben op de achtergrond.
Wat moet ik hier nou van vinden? Afluisteren van code's vind ik toch tamelijk significant. Dat open laten ter behoeve van een hypothetische toekomstige functie zet ik hele grote vraagtekens achter.

Ik vind overigens sowieso dat websites te veel mogen met mijn telefoon. Ik stoor me bijvoorbeeld groen en geel aan die "advertenties" die de trilfunctie van een telefoon af laten gaan en roepen dat zogenaamd mijn whatsapp is verlopen of iets van die strekking.
Als ze mijn pincode's kunnen onderscheppen met die gyroscoop heb ik liever dat die gyroscoop niet zomaar aanspreekbaar is.

[Reactie gewijzigd door Ton Deuse op 12 april 2017 18:44]

Ik snap het standpunt van Google ergens wel, je kunt zoveel leuke trucs bedenken hoe je via hardware dingen af kan luisteren, ergens moet er gekozen worden om een streep te trekken.

Als dit echt zo'n groot probleem is (en dat valt denk ik wel mee) en je maakt je zorgen dat iemand bij jou op die manier je wachtwoord probeert te stelen dan kun je vast wel een 'app' vinden die je gyroscoop uitzet als je een invulveldje aan klikt.

Zelf vind ik dat een beetje een brug te ver, je bent verder niet dom toch, installeer geen rare dingen en kijk naar het url van de sites die je bezoekt, en als je zulke super geheime logins hebt dat je serieus bang bent dat iemand ze steelt is het sowieso niet handig deze op je telefoon te gebruiken, gebruik dan gewoon keypairs etc.
Als dit echt zo'n groot probleem is (en dat valt denk ik wel mee)
Volgens het artikel valt het absoluut niet mee:
De onderzoekers hielden vorig jaar een experiment, waarbij het na vijf pogingen altijd lukte om de juiste pincode af te luisteren met behulp van data van de gyroscoop.
je maakt je zorgen dat iemand bij jou op die manier je wachtwoord probeert te stelen dan kun je vast wel een 'app' vinden die je gyroscoop uitzet als je een invulveldje aan klikt.
Die redenatie snap ik niet? Op die manier blijven mensen die niet op de hoogte zijn van dit probleem (laten we het "afronden" op "iedereen") kwetsbaar, terwijl jouw voorstel ook nog eens veel meer nadelen met zich meebrengt dat een ingebouwde oplossing: je moet steeds dat vinkje aan- en uitzetten (waar je na verloop van tijd vanzelf slordig in wordt) en bovendien gaat de gyroscoop uit voor alle websites en alle apps, niet alleen voor websites die op de achtergrond draaien.
Zelf vind ik dat een beetje een brug te ver, je bent verder niet dom toch, installeer geen rare dingen en kijk naar het url van de sites die je bezoekt
Het gaat er niet om wat je installeert, dit geldt voor elke website (en alle frames daarin; het zou niet de eerste keer zijn dat ads malware bevatten). De practische betekenis van wat je hier schrijft is in feite "sluit alles af, voordat je ergens een code invult" en sorry, dat vind ik geen fatsoenlijke oplossing.
als je zulke super geheime logins hebt dat je serieus bang bent dat iemand ze steelt is het sowieso niet handig deze op je telefoon te gebruiken, gebruik dan gewoon keypairs etc.
Lang niet alles met een login heeft ondersteuning voor keypairs. Om maar op de meest voor de hand liggende plek te beginnen: hoe wou je keypairs gebruiken om je telefoon te unlocken?
Ik snap het standpunt van Google ergens wel
Volgens mij draaien ze het om: als iemand in de toekomst met een use case komt van een app die alleen goed werkt als ie continu op de voorgrond draait, dan kunnen we dan wel gaan kijken naar een oplossing *). Een gapend gat in de beveiliging wagenwijd open laten staan omdat er mogelijk ooit iemand gebruik van een feature zou kunnen gaan maken slaat werkelijk nergens op.
Het is dat ik geen alu-folie bij de hand heb, anders zou ik bijna gaan denken dat dit soort onzin-logica een flinterdun excuus is omdat ze het niet mogen oplossen...!?

*) Mijn eerste suggestie, na een halve seconde erover gedacht te hebben: laat de browser alle gyroscoop data bufferen en geef die in één keer "gesommeerd" aan de website zodra ie terug op de voorgrond komt.
Na iets langer nadenken: als dat teveel onnauwkeurigheid oplevert of als sites periodiek updates nodig hebben (ehm, een fitness tracker die als website draait? of een treasure hunt site die iets moet doen als je vlak in de buurt bent van een bepaalde locatie? in beide gevallen: waarom draait dat niet op de voorgrond!?), dan kun je ook elke tien seconde een gesommeerde update geven, dat voorkomt (voor zover ik in kan schatten) nog steeds dat codes afgeluisterd kunnen worden.

[Reactie gewijzigd door robvanwijk op 12 april 2017 20:41]

Ik wil niet nog een keer hetzelfde verhaal houden dus waar mogelijk verwijs ik je ook graag naar deze reactie, maar in het kort, de kans dat dit echt gebeurd is zo klein, en als het gebeurd dan is het zeer waarschijnlijk precies wat je beschrijft, een ad op een website, en dan hebben ze je login voor die website (er maar even van uit gaand dat je slim genoeg bent die niet te herbruiken)

Wederom, Chrome kan als het tabblad niet actief is niet eens genoeg data binnen halen van de sensor om dit te doen, en als chrome zelf minimized is houd het helemaal op.

Dus het moet een specifiek geval zijn waarbij iemand waarde ziet in het maken van een uitgebreid systeem om via gyroscoop data wachtwoorden te achterhalen (want geloof maar dat het per device verschilt) van een specifieke site waar ze dan al toegang hebben om een ad 'met enge code' op te kunnen plaatsen. Sorry hoor, maar dan is het tig keer makkelijker voor ze om gewoon een javascript keylogger aan zon login veld te hangen.

Ik blijf er dus bij dat dit echt geen issue is, nogmaals, dit onderzoek komt uit 2011 mensen, leuk dat ze nog even wat aandacht krijgen voor hun paper, maar dit is al lang niet relevant meer, iemand die je wachtwoord wil stelen heeft 100 betere manieren tot z'n beschikking.

[Reactie gewijzigd door olivierh op 12 april 2017 21:24]

Ik wil niet nog een keer hetzelfde verhaal houden dus waar mogelijk verwijs ik je ook graag naar deze reactie, maar in het kort, de kans dat dit echt gebeurd is zo klein, en als het gebeurd dan is het zeer waarschijnlijk precies wat je beschrijft, een ad op een website, en dan hebben ze je login voor die website
Kans van misbruik is geen factor.
Je kan het met dat kansenargument ook wel laten om je software te patchen, immers de kans dat iemand weet waar jij die lekke software host, en hoe je er moet komen en hoe dat in jou specifieke context misbruikt moet worden is zeer klein... maar zo vinden wel al die "hacks" plaats waar je tegenwoordig zo veel van ziet.
Als iets exploitabel is MOET je er van uit gaan dat het gexploiteerd gaat worden en moet je maatregelen nemen waar mogelijk. Zo plat is digitale security gewoon, daar is m.i. geen enkele bewegingsruimte.

Google stelt gewoon prioriteit op eventuele marketingtechnische exploitatie en schuift de beveiliging van haar gebruikers naar de achtergrond in deze kwestie. (Of de NSA wil een houvast om in je telefoon te kunnen...)

Tevens staan er bij mij gemiddeld een stuk of 10 tabs open, dus als daar zo'n ad tussen zit hebben ze meer dan één website. Nog erger, ik heb op dat moment geen overzicht van het raakvlak.

[Reactie gewijzigd door Ton Deuse op 13 april 2017 10:32]

Ik vind het dom van te stellen dat het nogal meevalt. Tot gisteren wist ik niet dat het mogelijk was en jij wss ook niet. Hoe verwacht je dan dat mensen voorzorgen nemen? Het gaat niet over het installeren van rare dingen of phishing of super geheime logins. Het gaat over websites die je ooit bezocht hebt die je telefoon monitoren terwijl je helemaal niet meer op die website zit te surfen. Hoe wil jij je in godsnaam beschermen tegen dit soort "spyware"? Een antwoord als enkel sites bezoeken die je kent is het enige juiste maar dat is gewoon belachelijk.

Het standpunt van Google is net een brug t ver. Maar ja voor Google is spioneren hun enige bron inkomsten en dat is vooral de reden waarom Google het vertikt om gebruikers te beschermen.
Ik wist het wel hoor, hier nog een paar leuke:
- Iedere telefoon heeft (nog steeds) 'verborgen' software waarmee je provider in kan loggen om instellingen aan te passen, en een kwaadwillig iemand kan ook al je data inzien. (en dit is meerdere keren nieuws geweest en weer in de doofpot verdwenen, zeer waarschijnlijk omdat allerhande overheids instanties deze software ook 'nodig hebben')
- Iemand die je nummer weet (en welk merk device je hebt) kon trouwens tot voor kort met een (data-)sms je hele telefoon wipen, in nieuwere telefoons wel gepatchd gelukkig.
- Je harde schijf is af te luisteren met een microfoon van een smartphone op hetzelfde bureau, en dat is weer tot bruikbare data om te zetten (lees; wachtwoord hashes etc)
- Het in dit artikel genoemde verhaal van de gyroscoop (is trouwens iets uit 2011..)
Kan nog wel een paar bekende hype problemen noemen maar je snapt het waarschijnlijk wel, er zijn altijd wel onderzoekers die een nieuwe truc vinden om op een of andere manier data te stelen of je op een andere manier te irriteren, neemt niet weg dat we echt niet meteen alles hoeven te gaan afschermen.

En dan is het heel typisch (gezien de rest van je reactie) dat je meteen in de veronderstelling gaat dat een website die je ooit bezocht hebt nog steeds toegang tot je telefoon heeft, kom op man, lees het artikel, het gaat over een website die je nu open hebt staan, in de achtergrond.

2 Leuke weetjes over chrome (voor mobiel) die hier relevant zijn;
- Een niet actief tabblad in chrome krijgt bijna geen updates (van 100en keren per seconde naar misschien 1x per seconde tot nog minder)
- En zodra chrome minimized is valt dat helemaal weg en krijgen sites helemaal geen updates meer.

Het is dus in mijn ogen een doorsnee 'hype probleem' wat echt niet met spoed aangepakt hoeft te worden, zeker gezien het waarschijnlijk überhaupt al niet mogelijk is dit te doen met Chrome (vanwege bovenstaande 2 puntjes, word natuurlijk moeilijk een pincode ontcijferen als je maar een 100ste van de data of helemaal niets ziet)

Ik bedoel, kijk alleen al naar hoe dit iets is wat in 2011 al bekend werd, en nu pas door sommige fabrikanten aangepakt word, dit is gewoon een non issue voor 99.999999% van de afneemmarkt, en dan is het een beetje flauw om maar aan te nemen dat Google hier in het algeheel niet over na heeft gedacht/schijt aan heeft.

Oh en voor Google zijn advertenties en statistieken de inkomsten, en ze hebben zelf de meeste veiligheids-problemen op het web aangekaart & opgelost, kom op, iets minder tunnelvisie/fanboy-gehalte graag.

[Reactie gewijzigd door olivierh op 12 april 2017 21:23]

Leuke lijst. Maar het verhaal van de harddisk die af te luisteren is klopt niet. Als je je eigen link leest zie je dat de harddisk wordt gebruikt als een soort speaker. Het is dus niet mogelijk om op deze manier te luisteren wat er op dat moment geschreven wordt.
Je harde schijf is af te luisteren met een microfoon van een smartphone op hetzelfde bureau, en dat is weer tot bruikbare data om te zetten (lees; wachtwoord hashes etc)
Het is dus niet mogelijk om op deze manier te luisteren wat er op dat moment geschreven wordt.
Zeg ik ook niet toch? :)
Je zegt het niet expliciet, maar de context waarin je het post werkt natuurlijk wel sterk die suggestie.
Waarom zou je dat anders benoemen?
Ik benoem het omdat ik een lijstje opnoemde van vergelijkbare 'enge trucs met hardware', dat je harde schijf gebruikt kan worden om geluid te maken (veelal buiten de frequenties die we horen) en zo data over te zenden is toch een prachtig voorbeeld van zoiets? :)
Ik heb anders de indruk dat je het nog niet helemaal door hebt. Sites die ik bezocht heb draaien altijd gewoon op de achtergrond. Wat Chrome doet interesseert me geen zier want ik laat Google niet toe om mij te bespioneren.

De inkomsten van Google komen inderdaad van advertenties maar om die advertenties te leveren bespioneerd Google gewoon zijn gebruikers.
Ik snap het niet. Het houdt dus o.a. in dat als ik met de Rabobank app internetbankier. Ze de pincode van die app uit kunnen lezen omdat er een webbrowser open staat die de gyroscoop kan gebruiken??
Dit is een super ver doorgetrokken voorbeeld, maar in theorie kan dit ja.

Wel met de nuance dat het op Chrome al in geen tijden gewerkt zal hebben ivm het afknijpen van die sensor-data, en sinds de gedane patches is het nu ook met Firefox en Safari geen probleem meer, oh en het had een aanval specifiek voor jouw device (merk+model) & bank-app moeten zijn, of anders hadden ze uberhaupt al niets van de sensor data kunnen maken
Google trekt een streep, en blijft daarbij, ook al blijkt de "onmisbare feature" heel makkelijk te kunnen worden misbruikt? Daar begrijp ik helemaal niks van!
Hoe makkelijk dit is valt dus heel erg mee :)
[...]

Ik vind overigens sowieso dat websites te veel mogen met mijn telefoon. Ik stoor me bijvoorbeeld groen en geel aan die "advertenties" die de trilfunctie van een telefoon af laten gaan en roepen dat zogenaamd mijn whatsapp is verlopen of iets van die strekking.
Is dit iets Android-specifieks? Ik heb dit nog nooit meegemaakt op mijn iPhone.
Ik heb geen blind idee, ik weet alleen dat het schijt irritant is.
Kan geen enkele goede reden verzinnen waarom een website dat moet kunnen, zeker niet zonder voorafgaande expliciete toestemming van de gebruiker zoals ook gebeurd met notificaties die Chrome naar je desktop kan pushen van bijvoorbeeld Gmail en Whatsapp.
Het gaat dus eigenlijk om een statische aanval op basis van de gyroscoop .
Je tilt is namelijk anders bij elke druk omdat je hoger , lager , meer links of meer rechts drukt, terwijl het kantelpunt hetzelfde blijft (omdat de gsm op de zelfde manier in je hand blijft liggen bij het invullen van je pincode)

Het is inderdaad moeilijk hoe je daar van af kan komen

Een truuk zou zijn om de cijfers telkens op een andere plaats te tonen op het klavier zo dat ze niet meer in de traditionale manier staan:

789
456
123
Dit bestaat dus al! In Cyanogen OS / CyanogenMod heet die functionaliteit PIN Scramble. Ik ga ervan uit dat dit ook in Lineage OS zit.

Zie ook deze korte video.
Dat zou het invoeren zeer gebruiksonvriendelijk maken. Mensen raken gewend aan een patroon voor het invoeren. Als je dat door de war gaat gooien, ga je geen vrienden maken. Wat mischien bij tablets zou kunnen werken is het steeds ergens anders tonen van het toetsenbordje hiervoor, in plaats van altijd in het midden. Maar op een telefoon helpt dat al niet.

Maargoed: waarom heeft een site de gyroscoop nodig als het toestel kennelijk unlocked moet worden? :?

[Reactie gewijzigd door ATS op 12 april 2017 19:43]

Dat vraag ik me ook af. Wordt de toegang tot de gyroscoop niet gewoon afgesloten voor bepaalde apps zodra deze niet op de voorgrond actief zijn en/of als de telefoon gelockt is? Dit zou standaard beveiliging in Android moeten zijn.
Die whatsapp advertenties zag ik soms ook bij Windows phone verschijnen maar waren makkelijk weg te drukken. Bij Android word echter heel je browser overgenomen door popups en dingen. Gigantisch vervelend! Het lijkt bij Android trouwens meer op malware aangezien je redirects krijgt daarnaar vanaf respectabele websites, zoals Google.com en tweakers.

Moet er wel bij vertellen dat ik die whatsapp advertentie al een tijdje niet in het wild heb gezien
Exact, waarom niet eerst toestemming moeten geven zoals met webcam en microfoon?
Ws omdat google maps via de browser op de achtergrond je navigatie niet meer kan doen? :+
Waarom zou je op android maps in een browservenster openen i.p.v. gewoon de app maps? Voor navigatie heb je overigens ook helemaal geen gyroscoop nodig.
Waarom niet? er is behalve Google Maps nog meer wat je locatie gebruikt (en niet alleen Bing Maps ofzo, er zijn genoeg sites die niet een kaart weergeven maar wel iets met je locatie kunnen)

En je gyroscoop is juist heel handig in combinatie met gps/compass, die data kun je combineren zodat je minder 'ruis' (schudden etc) hebt
Ik dacht dat door de clown face de ironie of grap, duidelijk was.
Mwah Google Maps is tegenwoordig toch onderdeel van de "Mandatory apps" als je als telefoonboer Android op je toestel wilt leveren?

Dus zie niet in waarom men de browser versie zou gebruiken.
Maps-app kijkt ook elke keer in je contacts. Tenminste ik krijg elke keer die vraag ( gebruik privacy-manager )
Waarom niet inbouwen dat de gyroscoop uigeschakeld wordt tijdens het loginscherm...
lijkt me redelijk simpel...
De gyroscoop moet ook bewegingen kunnen constateren wanneer het login scherm geactiveerd is. Bvb bij iOS krijg je je notificaties te zien als je je telefoon vastpakt. Zullen vast nog wel een boel andere taken zijn die de gyroscoop uitvoert terwijl het login scherm is geactiveerd.
D'r is een verschil tussen exacte rotaties doorgeven en doorgeven "Ja, de gebruiker heeft het toestel in de hand"...

En dan nog, voor die paar sekonden dat de gebruiker de code ingeeft zou het toch mogelijk moeten zijn de gyroscoop "dezelfde laatste waarde van voor de pincode-dialoog" door te laten geven, dan heb je alleen geen detail-info gedurende een kort moment. Daar zouden apps niet echt last van moeten hebben.

Ik kan me nog iets voorstellen dat er gps-data nodig is, maar ik kan zo snel geen zinvole use-case verzinnen waar het essentieel is dat apps gedurende het ingeven van de pincode absoluut preciese gyroscoop data moeten hebben. Het scherm is sowieso geblokkeerd (fullscreen keyboard om code code in te geven), dus iets laten zien gaat niet en zou alleen maar storen ( lijkt me irritant om twitter-notificaties oid te krijgen tijdens het intikken van de pincode ).

[Reactie gewijzigd door rboerdijk op 13 april 2017 09:44]

Stap 1: geef de browser zoveel mogelijk hooks in de hardware (gpu, gyroscoop, gps locatie, local storage) zodat iedereen krachtige webapps kan maken
Stap 2: ontdek dat je vergeten bent dat op het web de gebruiker automatisch ongecontroleerde code draait, en dat die allemaal vervelende dingen doen met die directe hardware-access
Stap 3: verzin een hack en beperk de functionaliteit een heel klein beetje, ipv de browser volledig dicht te timmeren
Stap 4: aanvallers verzinnen wat nieuws
Stap 5: goto stap 3
Ik gebruik nu al een geruime tijd geen Android meer, maar ik wist niet dat reclame in je Android browser je telefoon kon laten trillen. Dat gaat toch echt te ver.
Dit is gewoon een API in de HTML5 standaard, op zich helemaal niet gek dat het ondersteund word.
Dit illustreert eea bijzonder helder. Bij Firefox en Apple zijn de gebruikers de klant, en die willen ze zo goed mogelijk beschermen. Bij Google is de adverteerder de klant, en die willen ze zo weinig mogelijk beperken.
Nog een extra reden om een fingerprint scanner op een telefoon te zetten.
Superveilig is het niet maar wel veiliger dan geen pincode of een slechte pincode (1111, 1234, ...)

[Reactie gewijzigd door GoldenBE op 12 april 2017 18:42]

Nu, ook met dit soort berichten, keer op keer blijkt dat alles op onvoorspelbare manieren te hacken valt, zou ik juist absoluut geen fingerprint willen gebruiken op mijn smartphone. Een gestolen pincode kan ik overal wijzigen, mijn vingerafdruk verandert niet zo gauw.
In het ergster geval stelen ze je vinger "in real life"!!!
En dat doet heel wat meer zeer dan het afgeven van een pincode.

Dat is tevens het grote probleem bij biometrische identificatie. Een pincode is zo gewijzigd maar een vinger of een Iris niet
Met een vinger heb je, met een beetje geluk, wel nog 19 andere afdrukken die je kan gebruiken. Er kunnen er dus 19 worden gestolen, voordat je echt een probleem hebt ^^
Tenzij er identiteitsfraude wordt gepleegd met jouw vingerafdruk...
Zodra je met je hand leunt op een muur hebben ze al 5 vingerafdrukken ;)
Ja, dat dan weer wel :)

Toch mis ik er liever geen
gelieve te verduidelijken waar jij 20 afdrukken haalt om je telefoon te unlocken...

zover ik weet registreerd niemand zelfs al zijn 10 vingers, maar jij doet je tenen ook ofzo?
Ook goed ^^ Het was al laat he :P
Een pincode of zo'n veeg op Android kan ik makkelijk afkijken en dus je telefoon snel stelen en je pin gebruiken en dat kan ik niet gemakkelijk met een fingerprint.

Vergeet niet dat een op van dit soort aanvallen gemakkelijk moeten zijn. Tenzij.....

Als je nu een crimineeltje bent, wellicht dan kun je wel een pincode gebruiken, of een iresscan of iets dat minder gemakkelijk te stelen valt.
Als je dol bent op een irisscan, dan kun je je ook afvragen of je als crimineel wel wilt dat ze je oog stelen. Wellicht is het dan handiger dat je maar een vinger gebruikt voor je telefoon. En als die vinger 'gestolen' wordt, gebruik je je andere pinkie.... Of stap je gewoon darnaa wel over naar een pin....

Voordat iedereen rond gaat lopen bazuinen dat fingerprint minder veilig is moet je je wel afvragen of je een target bent.... Zo niet, dan is een fingerprint prima.
Het patroon op Android hoef je meestal niet af te kijken want die "veeg" zie je gewoon op het glas staan...
Ik zou het liever als reden zien om de teugels aan te trekken exact wat je zomaar mag aanspreken aan functies als random website bouwer...
Je weet dat op Android het verplicht is om naast de vingerafdrukscanner nog een andere methodiek te hebben voor unlocken? Mensen gebruiken dan veelal de PIN-code omdat dat lekker makkelijk is.
"De fix van Mozilla en Apple bestaat eruit dat alleen websites die op de voorgrond staan data van de gyroscoop mogen uitlezen."
Slechte zaak dat Google deze oplossing niet implementeert, aangezien het de standaard browser is op veel Android telefoons.

"Ontwikkelaars van Chromium weten van de aanvalsmethode, maar hebben de fix uiteindelijk niet doorgevoerd. Zij waren bang dat websites in de toekomst minder kunnen doen met kaarten en video's die afhankelijk zijn van data van sensoren."
Hoezo beperkt dit de mogelijkheden van ontwikkelaars? De fix van Mozilla en Apple heeft geen invloed op het wel of niet kunnen gebruiken van de sensoren, tenzij ontwikkelaars speciaal websites gaat maken die bedoelt zijn om enkel op de achtergrond te draaien.. 8)7
Tsja, het is natuurlijk wel aantrekkelijk om het in een advertentietool te verwerken, zodat je gebruikers advertenties kunt tonen die relevant zijn voor hun omgeving/locatie. Een netwerk als adwords is bovendien op zoveel sites actief, dat de kans relatief groot wordt dat het ergens op de achtergrond draait, dan. Mooie methode voor Google om meer gegevens te verkrijgen en duurdere advertenties te verkopen.

Vanuit een zakelijk perspectief zie ik de mogelijkheden voor een bedrijf als Google wel en snap ik dat ze het liever niet uitsluiten. Het is alleen jammer dat ze dat dus boven de veiligheid van hun gebruikers stellen. Helemaal gezien het marktaandeel.
Ik kan op dit moment niet direct een advertentietool bedenken die niet voldoende heeft aan mijn locatie. En als de locatie zoals die op dit moment gedefinieerd is niet zou volstaan, kan de locatie-API uitgebreid worden met (gefilterde) data van de gyroscoop (je kan rustig aan één tot enkele Hz updates sturen zonder gevaar op dit soort exploits).

En nu bekende exploits toestaan (en als we het over het achterhalen van wachtwoorden allerhande hebben, spreken we toch al over een serieuze exploit) omdat er in de toekomst misschien iemand iets zinnigs zou kunnen doen met die functie? Dat is niet direct een beslissing waar ik als gebruiker begrip voor heb.
Ik kan het verkeerd hebben maar is Chromium niet de open source variant van Chrome? Zo ja, dan zou dit toch makkelijk uit de OS variant te verwijderen zijn?

Verder vind ik het overigens onbegrijpelijk, waarom niet die functionaliteit (eventueel) toevoegen als er daadwerkelijk vraag naar is?
Ik wist dat de gyroscopen en accelerometer best precies waren, maar zo precies dat men de pincode kon achterhalen? Wauw. Goed van de patch. Vraag me af of de patch nou alleen voor iOS9 is. Of dat het in iOS10 al verbeterd is. Goede patch, maar ik hoop inderdaad dat het niet ten nadele is van de functionaliteit.
Ik verbaas me soms hoe slim sommige sites te werk gaan.

Overigens nog iets geks ik heb al paar keer waarschuwing gekregen van mijn browser of android dat een website waar ik naartoe werd gestuurd toegang tot mijn microfoon vroeg. Die weigerde ik natuurlijk maar hoeveel mensen hebben die mogelijkheid niet.
Was een gewone website er was geen reden te bedenken waarom hij de microfoon nodig had.
Goed dat er een fix is, maar het is natuurlijk belachelijk dat die browsers toegang hadden tot de sensor. Groot nadeel van apps op android (en mogelijk andere systemen, is mij niet bekend). Als gebruiker kan je alleen software-rechten accepteren zoals het is, of weigeren. Gebruikers moeten zelf kunnen kiezen welke rechten een app krijgt. Als een app informatie nodig heeft voor navigatie, dan dient daar een service op de telefoon te draaien die deze data verschaft (niet meer dan noodzakelijk). Direct aanspreken van hardware is vragen om problemen. Misschien met enkele uitzonderingen zoals hardware-versnelling door grafische chip.
Waarom hebben sitea uberhaupt toegang tot sensoren? Laat dat lekker voorbehouden zijn aan apps, en dan na toestemming van de gebruiker en alleen op de voorgrond.

Een website heeft niets met de orientatie van mijn telefoon te maken.

Los daarvan, gelukkig gebruik ik een lang (veilig) wachtwoord op mijn telefoon, niet een korte pincode die alleen uit cijfers bestaat. Lijkt me sterk dat deze methode ook werkt op het volledige qwerty-toetsenbord, dan zijn de verschillen nog veel kleiner.
Ik vermoed dat ze doelen op progressieve web apps (in feite een website) die eigenlijk normale apps in de toekomst moeten kunnen vervangen. Maar dan nog vind ik ook dat een 'app' dit niet in de achtergrond mag uitlezen.
oke in dat geval gebruik ik geen chrome meer. Safari en/of Firefox zijn prima vervangers.

[Reactie gewijzigd door pjdijkema op 12 april 2017 19:44]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*