Chaos Computer Club fopt irisscanner Samsung Galaxy S8 met foto

Hackers van de Duitse Chaos Computer Club hebben aangetoond dat het mogelijk is om een Samsung Galaxy S8-smartphone te ontgrendelen door een foto van een oog voor de irisscanner te houden. De foto moet wel op een bepaalde manier genomen zijn.

In een bericht schrijft de CCC dat zijn onderzoekers hebben vastgesteld dat het mogelijk is de foto te nemen op maximaal vijf meter afstand van het gezicht van de te fotograferen persoon. Ze maakten daarbij gebruik van een digitale camera met een 200mm-lens in de night shot-modus, waardoor de details van de iris duidelijker naar voren komen. Door de foto vervolgens met een Samsung laserprinter af te drukken en een contactlens over de iris heen te leggen, is het mogelijk om toegang te krijgen tot het apparaat via de irisscanner. De CCC meldt dat het duurste onderdeel bij de methode de aanschaf van de telefoon was en dat de methode in principe ook mogelijk is met een foto met hoge resolutie van internet. De organisatie heeft een video van zijn bevindingen gepubliceerd.

Eerder bleek al dat de gezichtsherkenning van de S8 voor de gek gehouden kan worden met een selfie. Samsung reageerde destijds op het nieuws met de mededeling: "Het is belangrijk te benadrukken dat gezichtsherkenning, hoewel gemakkelijk, alleen gebruikt kan worden om de Galaxy S8 te ontgrendelen en niet gebruikt kan worden om toegang te krijgen tot Samsung Pay of de Beveiligde Map." Dat is echter anders als het gaat om de irisscanner. Daarover zei Samsung in hetzelfde bericht: "De Galaxy S8 voorziet in verschillende vormen van biometrische beveiliging met het hoogste veiligheidsniveau, waaronder de irisscanner en vingerafdrukscanner." Daarmee suggereert de fabrikant dat de irisscanner een hoger beveiligingsniveau biedt.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 23-05-2017 12:51114

23-05-2017 • 12:51

114 Linkedin

Lees meer

Samsung Galaxy S8

vanaf € 202,-

Score: 4

Alles over dit product

Samsung Galaxy S8+

vanaf € 319,99

Score: 4.5

Alles over dit product

Video toont ontgrendelen Galaxy S8 met behulp van portretfoto Nieuws van 31 maart 2017
Samsung brengt Galaxy S8 op 28 april uit voor 799 euro Nieuws van 29 maart 2017
Gerucht: Samsung zet naast irisscanner ook gezichtsherkenning in Galaxy S8 Nieuws van 9 maart 2017
Meer producten en artikelen
Netwerk en systeembeheer Smartphones Samsung Galaxy S

Reacties (114)

-Moderatie-faq
114
112
45
4
0
60
Wijzig sortering
NightFox89
23 mei 2017 12:54
Doet me denken aan die Mythbusters aflevering waarbij ze vingerafdrukscanners probeerde voor de gek te houden. Een printje met de vingerafdruk, beetje natmaken en op je vinger doen, was al voldoende om de meest geavanceerde systemen voor de gek te houden -_-

Edit: Linkje naar het fragment toegevoegd
Edit2: Overigens is dit fragment wel van wat jaartjes terug, geen idee hoe het met de huidige generatie zit. De vergelijking viel me gewoon op ;)

[Reactie gewijzigd door NightFox89 op 23 mei 2017 13:10]

piderman
@NightFox8923 mei 2017 13:19
Modernere vingerscanners bekijken ook je aderpatronen met een lampje. Ik durf geen uitspraken te doen over hoe nauwkeurig dat is en of dat lastiger te foppen is ;)
Morgan4321
@piderman23 mei 2017 13:29
Maar dat soort zit niet in een telefoon.
Koffiebarbaar
@Morgan432123 mei 2017 13:50
Toch denk ik dat die in de praktijk lastiger te foppen zijn dan gewoon de pin of het patroontje te bemachtigen waarmee 99% van de mensen zo'n telefoon normaliter de telefoon beveiligd en het daarmee een betere vorm van beveiliging is.
Als ik een euro kreeg elke keer als iemand willens en wetens hun telefoon in mijn gezichtsveld ontgrendeld kon ik stoppen met werken. Heb ik het niet eens over de mensen die dat onbewust in bijvoorbeeld het OV doen. Ik zou wel eens willen weten hoeveel pincodes (wat ook vaak een echte pin van een bankpas zal zijn) en ontgrendelpatronen je kan bemachtigen uit de beveiligsbeelden van een random tram in de randstad.
Voordat je een bruikbare vingerafdruk van een object hebt geëxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.

[Reactie gewijzigd door Koffiebarbaar op 23 mei 2017 13:54]

supersnathan94
@Koffiebarbaar23 mei 2017 14:00
Voordat je een bruikbare vingerafdruk van een object hebt geëxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.
Precies dit. Bij iPhones is het dan zelfs nog zo dat als je de wel weet het toestel 99/100 keer alsnog niet meer bruikbaar is door Find my iPhone. Het extraheren van een bruikbare vingerafdruk kost overigens dusdanig veel tijd (vorige spoof werkte met 24 uur) dat het toestel zelf al besloten heeft dat het eerst een pincode nodig heeft (niet unlocked met vinger of pincode in 12 uur tijd).

unlocken met vingerafdruk is dus vele malen veiliger dan alleen met de code, omdat je die niet zomaar kunt "afkijken" en repliceren.
Stranger__NL
@supersnathan9423 mei 2017 14:26
Ik kan nu al een vingerafdruk, irisfoto en andere biometrische gegevens bemachtigen van een (top-)ambtenaar. Zoals hier ook gewoon vanaf een high res foto. Deze wijzigen in principe niet.

En dan kan ik t.z.t. ineens toeslaan. Ik heb _alle_ tijd om voor te bereiden.
supersnathan94
@Stranger__NL23 mei 2017 15:02
Sure. Vervolgens heb je hoogstens een paar uur de tijd voordat die doorheeft dat het toestel is vermist en met apps als Lookout zelfs binnen enkele seconden. Het enige waar dit makkelijk voor bruikbaar is is dan ook een snelle data grab. Een full backup maken van een toestel terwijl je in de buurt bent van het slachtoffer, want met een app als Lookout heeft hij diefstal in no time door. Voordat jij de kans hebt om er maar iets mee te doen is het toestel dan ook gelocked of je bent zelf de sjaak.

Nah iPhones stelen is alleen leuk voor de hardware. De data is vrijwel onmogelijk eraf te halen als mensen enigszins nadenken over de beveiliging van zichzelf en hun data. zo kan ik mij voorstellen dat topmensen in het bedrijfsleven dit goed voor elkaar hebben. het is goedkoper om de iPhone te verliezen door een blockade en wipe dan dat je de data kwijt bent.
tweaknico
@supersnathan9423 mei 2017 17:25
Waarom moet het slachtoffer z'n toestel missen?
Inbraak in het zwembad kluisje tijdens een sessie baantjes trekken en het toestel leegroven kan ook.
Bij een goede voorbereiding hoort niet alleen een setje foto's maken maar ook het slachtoffer afleggen.
434365
@supersnathan9423 mei 2017 17:36
Je vergeet hier voor het gemak even dat een serieus doel (zoals die minister) natuurlijk van tevoren gefotografeerd kan worden, haal je daar vingerafdruk en iris uit, dan pas steel je die minister zn telefoon, heb je vingerafdruk en foto van het oog al bij de hand..

Je doet aannames over apps die mensen op hun smartphone hebben, maar het zou me niets verbazen als zulke apps op minder dan 5% van alle smartphones wereldwijd staan.

Ook ben ik het niet eens met je uitspraak over dat data vrijwel onmogelijk van een iPhone te halen valt, weet je het verhaal FBI<->Apple nog? en hoe de FBI opeens de zaak liet vallen omdat er meerdere mensen gewoon open en bloot op Twitter begonnen te posten hoe je die data van een gelockte iPhone haalt? die data hebben ze uiteindelijk gewoon van zn iPhone getrokken hoor, zonder hulp van Apple, en zonder de telefoon te unlocken, en geloof maar niet dat dat een super bijzonder trucje was wat niemand anders kent.

Ik denk al met al dat je een beetje te rooskleurig denkt, alle biometrische beveiliging op smartphones is op zn best van middelmatige kwaliteit (door zowel ruimtegebrek als kostenbesparing) en beid letterlijk alleen maar schijnveiligheid. Ook de 'echte' veiligheid die je bij sommige partijen vind, zoals versleutelde bestandssystemen etc is ook absoluut niet perfect en zeer zeker ook te omzeilen.
supersnathan94
@43436523 mei 2017 20:12
die data hebben ze uiteindelijk gewoon van zn iPhone getrokken hoor, zonder hulp van Apple, en zonder de telefoon te unlocken, en geloof maar niet dat dat een super bijzonder trucje was wat niemand anders kent.
Uiteindelijk wel ja. Dat heeft echter wel enkele maanden geduurt bij een iPhone die niet gelocked was met FMI. Op het moment dat je dat doet (bij nieuwere series) is het echt klaar en bestaat de data niet meer.

Een serieus doelwit als een minister zou in theorie juist een dergelijke software extra moeten hebben om dit soort dingen te kunnen voorkomen.
Jasper Janssen
@supersnathan9423 mei 2017 17:40
Integendeel, Find My iPhone zorgt ervoor dat iphones jatten voor de hardware gekkenwerk is. Tenzij de 100 euro retail aan case/scherm/accessoires je doel is, itt de 400 euro aan moederbord.
supersnathan94
@Jasper Janssen23 mei 2017 20:17
Uitgaande van retail prijzen heb je hier het lijstje wat originele onderdelen retail op kunnen leveren:

Scherm - €100
Headphone jack en dock - €45
Speakers - €30 p/stuk
Knoppen zijkant - €35
Antenne kabels - €40
Accu in goede staat - €30
Achterkant met kleine gebruikssporen - €80-100
Camera's - €45 p/stuk

Al met al zo'n €500 aan onderdelen. Geloof mij. Een iPhone levert in onderdelen veel meer op dan de totaalprijs in de winkel. Voor een dief zal het een paar tientjes zijn voor de moeite, maar iCloud toestellen vinden gretig aftrek op bijvoorbeeld marktplaats omdat je heel goedkoop aan originele onderdelen kunt komen.

Moederbord en homebutton zijn dan jammer, maar soms heb je mazzel en staat FMI niet aan.
erwinwernars
@supersnathan9423 mei 2017 17:51
heeft niet alleen iphone dit heeft android ook. kun je eenvoudig zien waar je bent geweest of je dit wil delen met google weet ik niet ^^ maarja zelfde geld voor apple :p
supersnathan94
@erwinwernars23 mei 2017 20:19
Een high end samsung toestel gap je dan ook voor het scherm. Die modules zijn kneiterduur.
3raser
@Koffiebarbaar23 mei 2017 14:14
Dat het veel tijd kost wil niet zeggen dat het niet mogelijk is. Bij een gerichte aanval is dit prima mogelijk zonder eerst zelf de telefoon in handen te krijgen. Zodra je doelwit een glazen of plastic object heeft vastgehad kun je dat gebruiken om de vingerafdruk vanaf te halen. Pas veel later kun je de telefoon stelen.
Niet bruikbaar voor zakkenrollers natuurlijk maar daardoor niet minder bruikbaar.
Koffiebarbaar
@3raser24 mei 2017 14:18
Ik zeg ook nergens dat het niet mogelijk is maar bij een gerichte aanval kan je toegangscode's ook gewoon onderscheppen, en die hoef je vervolgens alleen in te tikken i.p.v. een negatief te maken en vervolgens een kopie te produceren die het dan ook nog maar even moet doen.
Dat is het inherente probleem met on-screen input, zeker in het openbaar, als je wil kan je gewoon met alles meelezen. Zegmaar voor jan modaal is zo'n vingerafdruk authenticatie prima adequaat.

Als je een hoge waarschijnlijkheid hebt het doelwit te zijn van gerichte aanvallen gaan er op beveiligingsvlak sowieso heel andere krachten spelen.

[Reactie gewijzigd door Koffiebarbaar op 24 mei 2017 14:38]

Origin64
@Koffiebarbaar23 mei 2017 16:13
Voordat je een bruikbare vingerafdruk van een object hebt geëxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.
Dan ga je uit van capabele gebruikers die weten dat iemand hun vingerafdruk van een glas af heetf gehaald af wat dan ook. beetje onrealistisch scenario. we zijn niet allemaal james bond.

feit is dat een vingerafdruk 1 ding mist wat een goed password moet hebben: geheimhouding. je vingerafdruk is publieke informatie. het kan dus een public key zijn. een identifier. geen private key.

[Reactie gewijzigd door Origin64 op 23 mei 2017 16:14]

bigbadbull
@Origin6423 mei 2017 17:57
met alle glazen behuizingen is het trouwens niet zo heel ver zoeken naar een bruikbare vinger afdruk.
zo ook met die vingerafdruk toegangscontroles.
je mag 1 keer raden waar er op dat toestel heel waarschijnlijk een bruikbare vingerafdruk zit ???

juist ja net op dat glas dat de vingerafdruk moet lezen en de boel moet beveiligen
Want bij normaal gebruik wie laat er daar nu net hun vingers op rusten ? ja de mensen die toegang hebben.
434365
@Koffiebarbaar23 mei 2017 17:29
Voordat je een bruikbare vingerafdruk van een object hebt geëxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.
Ik weet niet hoor, maar kijk eens naar een willekeurige smartphone, de meeste zitten onder de vingerafdrukken (want oh ahh, glas achterkantjes zijn zo hip etc) en ik kan me bijna niet voorstellen dat je niet binnen een paar minuten van plakbandje met wat stof naar een uitgeprinte vingerafdruk kan.
Koffiebarbaar
@43436524 mei 2017 14:29
ik kan me bijna niet voorstellen dat je niet binnen een paar minuten van plakbandje met wat stof naar een uitgeprinte vingerafdruk kan.
Het lijkt mij persoonlijk zeer sterk dat dat zo simpel is maar geef me een simpele procedure en ik zat het op mijn S7 eens een poging geven.
Volgens mij ga je het met een simpel printje niet redden, aangezien die in smartphones niets doen met optiek.

[Reactie gewijzigd door Koffiebarbaar op 24 mei 2017 14:31]

sugarlee89
@piderman23 mei 2017 14:16
Dat is hetzelfde rode lucht waarmee ze saturatie meten in t ziekenhuis. Dat lijkt me ook makkelijk te simuleren.
mkools24
@piderman23 mei 2017 15:46
Bij die mythbusters episode waren de meest geavanceerde systemen juist het makkelijkst te foppen viel me destijds op.
bigbadbull
@mkools2423 mei 2017 17:59
hmm de meest geavanceerde die ik ken zal toch heel lastig zijn.

Geen vingerafdruk maar volledige handpalm scan, inclusief aders en handomtrek.
Maar dergelijke vind je niet overal, en zeker niet op een telefoon, die is er zelfs niet groot genoeg voor.
Yariva
@NightFox8923 mei 2017 13:05
Haha inderdaad. Ook de bewegingsmelder in een later fragment waarbij ze simpelweg een wit laken vasthouden is geniaal :)
Chip5y
@NightFox8923 mei 2017 13:36
De huidige generatie vingerafdruk scanners zijn nog steeds vrij makkelijk voor de gek te houden.

De methode dat The Verge gebruikt in de gelinkte video is via een afdruk in 'dental molding' en dan met Play-Doh. Maar die 'dental molding' kan ook vervangen worden door een hoge resolutie foto van de vinger en een 3D afdruk daarvan.

[Reactie gewijzigd door Chip5y op 23 mei 2017 13:39]

Lennie
@NightFox8923 mei 2017 13:51
De CCC hebben al meerdere keren heel duidelijk aangeven hoe slecht biometrische authenticatie eigenlijk is.

Deze talk van 2014 is ook heel goed:

https://www.youtube.com/watch?v=VVxL9ymiyAU (Engelse vertaling)

https://www.youtube.com/watch?v=YE1EoxKV53w (Duits)

[Reactie gewijzigd door Lennie op 23 mei 2017 14:18]

Magic Power
23 mei 2017 13:20
Wat veel mensen ook wel eens vergeten, is dat als deze beveiliging is gekraakt, je niet zomaar even een nieuw 'wachtwoord' ofzo kan instellen. De 'wachtwoorden' zijn hier dus je ogen, oren, gezicht, vingerafdruk, enz. Dit soort 'wachtwoorden', die letterlijk een deel van je persoon zelf zijn, kun je niet veranderen.

Dus als je deze beveiliging gebruikt, en iemand anders heeft toegang gekregen tot jouw persoonlijke 'wachtwoorden', dan blijven ze toegang houden tot de bijbehorende dienst, totdat je de gehele beveiliging, gebaseerd op fysieke kenmerken van jezelf, uitschakelt.

Sterker nog, als jouw fysieke kenmerken ergens zijn opgenomen in een database, en die database wordt gekraakt, kun je eigenlijk die 'wachtwoorden' niet meer gebruiken, omdat ze nu semi-publiekelijk zijn, en je ze ook niet meer kunt veranderen.

En zoals ook al mede aangegeven door NightFox89, dit soort beveiligingen gebaseerd op fysieke kenmerken van jezelf zijn relatief makkelijk te kraken. En bedenk daar nog eens bij, dat je je 'wachtwoord' (je gezicht, ogen) continue aan iedereen toont.

Wat niet wil zeggen dat deze technieken absoluut niet kunnen werken trouwens. Het is makkelijker voor de gebruikers, omdat je niks zelf hoeft te onthouden. Maar ik zou het niet als primaire of enigste beveiliging willen gebruiken.
3raser
@Magic Power23 mei 2017 14:22
Deze methode van beveiliging is inderdaad alleen handig ter verificatie van de persoon. Er zou altijd een tweetraps authenticatie moeten worden gebruikt.

De camera's worden steeds beter. Over enkele jaren werken we misschien wel met gigapixel sensoren. Met een beetje lens kan men je ogen dan fotograferen van tientallen tot honderden meters afstand. Je geeft je wachtwoord weg zonder dat je het ooit door zult hebben.
Heedless
@Magic Power23 mei 2017 14:42
als jouw fysieke kenmerken ergens zijn opgenomen in een database, en die database wordt gekraakt, kun je eigenlijk die 'wachtwoorden' niet meer gebruiken
In theorie, als de database op een nette manier opgezet is, zou dit niet het geval moeten zijn. Als je bijvoorbeeld een vingerafdruk omzet naar een hash en daarbij zorgt dat je een salt e.d. gebruikt, dan zou de hash zelf alleen bruikbaar moeten zijn bij de die specifieke dienst. De kans dat andere diensten precies dezelfde hash methode gebruiken is natuurlijk niet zo groot.

Maar in de praktijk gaat het natuurlijk nooit zo. Het zal me niet verbazen als er diensten zijn die gewoon ergens een plaatje van je vinger/iris opslaan. Precies wat je zegt: je kan het niet meer veranderen en het zijn kenmerken die je constant aan iedereen laat zien.
Origin64
@Magic Power23 mei 2017 16:16
tldr Biometrische informatie is goed voor identificatie, maar niet voor authenticatie
DigitalExorcist
23 mei 2017 17:57
Combinatie van:

- Wat je weet (pin, wachtwoord)
- Wat je hebt (smartcard, token)
- Wat je bent (vingerafdruk, irisscan)

.. werkt het beste. Maar ja. Iedereen snapt dat je je foon ook normaal moet kunnen gebruiken.
194673
23 mei 2017 13:12
Zie hier de reden waarom biometrie authenticatie een superslecht idee is. Een wachtwoord, token, etc. kan je vervangen wanneer nodig, of gewoon, eens in de zoveel tijd.
Een stem, vingerafdruk, iris scan, etc. vervang je niet. Zodra er een manier is om een sensor voor de gek te houden, dan kan jij je niet beschermen. Iemand kan jou stemgeluid opnemen, een foto van je gezicht maken, een vingerafdruk van je net weg gegooide bekertje afhalen, etc.

Dit werkt leuk in films, maar in het echte leven is dit geen goede security als je echt wat te beschermen hebt.
watercoolertje
@19467323 mei 2017 13:20
In films werkt het toch juist nooit.

Anyway het gemak is veel meer waard dan het risico. Als iemand jouw toestel wil unlocken heb je wel meer problemen dan je toestel. De moeite en gerichtheid van zo'n actie zegt me dat als ze dit niet kunnen ze je wel wat anders aan doen om hun zin te krijgen.
Dragonfly_tp
@watercoolertje23 mei 2017 13:33
In een film snijden ze je vinger er af of rukken ze je oog er uit...
logix147
@Dragonfly_tp23 mei 2017 17:35
Doomsday uit 2008 ;-) geen wonder op het doek maar daar zit beide in!
ReTechNL
@watercoolertje23 mei 2017 13:37
Zoals de volgende meme beschrijft:
https://xkcd.com/538/
His laptop is encrypted! Lets build a million-dollar cluster to crack it.
His laptop is encrypted! Drug him and hit him with this $5 wrench until he tells us the password.

[Reactie gewijzigd door ReTechNL op 23 mei 2017 13:39]

Morgan4321
@watercoolertje23 mei 2017 13:33
Juist. Ik herinner me een scene uit de serie Blade waar hij tegen iemand zegt die de irisscanner geprogrammeerd heeft: "don't worry, I only need one".
cavey
@19467323 mei 2017 13:25
Op zich, stem herkenning met een passphrase lijkt me nog enigszins veilig. Net zo veilig eigenlijk als de huidige wachtwoorden/pincodes methodiek.

Weliswaar kan je hele gesprekken met iemand opnemen voor z'n stem, en dan door wat stem-software heen gooien om de juiste zinnen te genereren, maar dan heb je de passphrase al en heb je al ergens een lek. Dan is de stem herkenning hooguit iets als 2-factor authenticatie.

Voordeel blijft wel dat je een stem-pass-phrase wel kan wijzigen ten opzichte van andere biometrische authenticatie methodes. Iris en vingerafdrukken wijzig je niet zo snel.
194673
@cavey23 mei 2017 13:40
Zie hier een mooi voorbeeld van gister m.b.t. stem authenticatie.

https://www.security.nl/p...ificatie+Britse+bank+HSBC
SuperDre
@cavey23 mei 2017 13:33
passphrase is natuurlijk heel simpel te achterhalen, immers hoef je alleen maar te wachten tot de gebruiker deze gebruikt om zijn/haar telefoon te unlocken, kun je meteen opnemen en hoef je niet moeilijk te doen met software.
Lennie
@SuperDre23 mei 2017 13:55
Daarom zou je ook een one time password kunnen gebruiken.

Ohh, maar dan heb je weer een apparaat nodig. ;-)
MacD
@cavey23 mei 2017 13:35
Check Voco. Een paar minuten audio is genoeg om getrouw de stem van iemand realtime na te bootsen. Koppel dit met de techniek waarop je iemand's mond realtime een andere stem kan laten uitspreken en je kan realtime met vieo iemand iets laten zeggen.

Stem+passphrase is wel iets veiliger, mits op de juiste manier opgeslagen, maar dat is natuurlijk wel iets wat iedereen om je heen horen kan.
l99030607l
23 mei 2017 12:56
Het is niet de s8 zijn gezichtsherkenning die te foppen was, maar die van Google. Samsung heeft geen eigen facial recognition protocol of applicatie tegenover die van Google, die op elke android telefoon ( vanaf Android Froyo ) standaard gezichtsherkenning heeft staan
bArAbAtsbB
@l99030607l23 mei 2017 13:08
het artikel gaat over de IRISscanner...niet over de gezichtsherkenning!
l99030607l
@bArAbAtsbB23 mei 2017 13:57
Heb je het artikel wel gelezen ? Ze praten er duidelijk over de gezichtsherkenning van de s8 wat gewoon gezichtsherkenning van Google is. De s8 heeft alleen een irisscanner wat van Samsung is. De gezichtspunt technologie en algoritmes etc komen allemaal van Google.
l99030607l
@bArAbAtsbB23 mei 2017 14:09
Dat weet ik maar de stelling suggereert dat de gezichtsherkenning van Samsung is terwijl Google er verantwoordelijk voor is. Samsung is verantwoordelijk voor de vingerafdruk en irisscanner omdat dat 2 van de biometrische dingen zijn die ze op hun manier implementeren in hun o.s. De gezichtsherkenning staat standaard op elke android ( 2.2+ ) toestel
GertMenkel
@l99030607l23 mei 2017 13:10
Het gaat hier niet om de gezichtsherkenning (die inderdaad van Google is) maar om de irisscanner.

De S8 kan de iris van je ogen scannen, die ongeveer zo uniek is als je vingerafdruk.

Dat de gezichtsherkenning te foppen is was inderdaad al wel een tijdje bekend (gewoon een foto printen...) maar de irisscanner is nieuw en dat wordt toch wel geadverteerd als een security ding.

Edit: artikel niet goed gelezen, er wordt inderdaad over de gezichtsherkenning van Google gepraat alsof dit van Samsung zelf komt

[Reactie gewijzigd door GertMenkel op 23 mei 2017 14:06]

l99030607l
@GertMenkel23 mei 2017 14:00
Nee dat weet ik ook wel. Maar ze praten duidelijk in het artikel over de gezichtsherkenning van de s8 zonder google ook maar ergens te noemen. Daarmee suggereren ze dat Samsung zijn gezichtsherkenning eerder gefopt is terwijl het de van Google is. Wat gewoon misleiding is

Als je me commentaar ook leest zie je dat ik aangeeft dat het van Google is en niet van Samsung.
GertMenkel
@l99030607l23 mei 2017 14:06
Ah, nou dat ik het artikel nog een keer lees zie ik dat je gelijk hebt.

Excuses.
l99030607l
@GertMenkel23 mei 2017 14:08
Dat weet ik maar de stelling suggereert dat de gezichtsherkenning van Samsung is terwijl Google er verantwoordelijk voor is. Samsung is verantwoordelijk voor de vingerafdruk en irisscanner omdat dat 2 van de biometrische dingen zijn die ze op hun manier implementeren in hun o.s. en de gezichtsherkenning standaard op elke android ( 2.2+ ) toestel zit.
Aiii
@l99030607l23 mei 2017 13:04
Lood om oud ijzer. De S8 wordt verkocht met Android en als die diens gezichtsherkenning gebruikt, dan is Samsung er net zo verantwoordelijk voor als de ontwikkelaar van de software, meer zo m.b.t. consumentenrecht, want zij zijn de fabrikant en dus de partij die de consument aanspreekt. Wij doen zaken met Samsung, Samsung op hun beurt doet zaken met Google.

Dus als de gezichtsherkenning op de Samsung Galaxy S8 brak is, ongeacht wie deze voor hen ontwikkeld heeft, draagt Samsung daar de verantwoording voor richting de eindgebruiker. Als zij vervolgens hun leverancier wil aanspreken, is dat hun zaak.
SuperDre
@Aiii23 mei 2017 13:30
Dat is geen lood om oud ijzer, aangezien door de stelling wordt gesuggereerd dat bij andere merken dit niet is.
Anoniem: 310408
@Aiii23 mei 2017 13:31
Lood om oud ijzer. De S8 wordt verkocht met Android en als die diens gezichtsherkenning .
Irisherkenning, geen gezichtsherkenning. En die is van Samsung en daar heeft Goggle niet veel mee te maken.

En daar is moderatie dus voor... dit is off topic.
Jasper Janssen
@Anoniem: 31040823 mei 2017 17:43
Dan moet je het nieuwsartikel eerst modereren -- zij zijn degenen die erover beginnen.
laptopleon
23 mei 2017 13:05
Ik vraag me ook altijd af hoe veilig een vingerafdruk-toegang is, zoals op de iApparaten gebruikt wordt.

Ja, het is best omslachtig om zo'n vingerafdruk te vinden en 3D te (laten) printen uit het juiste materiaal maar anderzijds vaak waarschijnlijk een stuk eenvoudiger, meer trefzeker en onopvallender uit te voeren dan de PIN-code achterhalen.
RebelwaClue
@laptopleon23 mei 2017 13:13
Vingeradruk toegang is minder veilig als men denkt. Nadeel van zo'n sensor op smartphones, is dat het gebied vrij klein is wat gescand is. Maar men is al bezig met een soort master fingerprints die op zo'n beetje elk toestel zouden werken. En de oudere versies van TouchID waren ook redelijk simpel te omzeilen.

[Reactie gewijzigd door RebelwaClue op 23 mei 2017 13:15]

Xerxes249
@RebelwaClue23 mei 2017 13:24
Het probleem dat de vingerafdrukscanner verhelpt is dat de meeste mensen een zwak paswoord nemen. Geboortejaar is een klassiek voorbeeld. Ondanks dat een sterke code beter is dan een vingerafdrukscanner is de 2e gemiddeld toch beter en makkelijker voor de gebruiker.

Apples fingerprint sensor heeft volgens hun eigen specificatie een veiligheid van 1/50.000, dit wil zeggen dat als je 50.000 random mensen pakt gemiddeld 1 hem kan openen. Een sterke pincode van 4 cijfers heeft 9.999 combinaties, dus je zou kunnen zeggen dat het ongeveer gelijk is aan een 5 cijferige pincode qua security.

Het grote voordeel van een vingerafdruk scanner over een pascode is echter dat je niet even een pincode kan afkijken bij iemand om daarna zn phone te pikken en te kunnen unlocken. Deze onderzoekers tonen aan dat een foto maken van iemand en daarna zijn telefoon jatten in principe genoeg is. Dit komt meer in de buurt van een plausibel scenario dan een vingerafdruk van iemand bemachtigen, 3d printen en unlocken.
RebelwaClue
@Xerxes24923 mei 2017 13:28
Maar een random vingerafdruk is niet gelijk aan bv zo'n master vingerafdruk. Al hebben ze bij dat onderzoek nog geen praktijk testen gedaan met smartphones. Het klinkt erg aannemelijk dat vingerafdrukken op kleine sensors minder uniek zijn. Neemt overigens niet weg dat ik liever vingerafdruk gebruik dan een pincode. Heb een 6cijferige pincode, maar vinger is toch net even iets makkelijker.
En ja in mijn ogen is een gezichtsontgrendeling ook onveiliger dan een vingerafdruk (zelfs met een master fingerprint)
kaas-schaaf
@Xerxes24923 mei 2017 13:55
Helaas zeggen de random match cijfers niets over de kwaliteit van de scanner in het geval van malicious intent. In dat geval ligt vrijwel altijd ordes van grote lager (e.g. je hebt vrij weinig van de afdruk nodig voor een match). De 1/50000 match is dus een random false positive, niet een fatsoenlijke poging tot misbruik.

Zolang mensen 'iets' gebruiken in plaats van niets is het een winst. Als het niet gebruikt wordt voor authenticatie maar enkel voor identificatie.

Ter info: Een 4pin heeft ~13 bits entropie en een 5 pin zo'n 17bits (~3.3 bits per digit). Fingerprints worden geschat rond de 20-30bits maar dat gaat meestal niet over scanner en puur theoretische lower bounds.
Origin64
@Xerxes24923 mei 2017 16:21
Het grote voordeel van een vingerafdruk scanner over een pascode is echter dat je niet even een pincode kan afkijken bij iemand om daarna zn phone te pikken en te kunnen unlocken. Deze onderzoekers tonen aan dat een foto maken van iemand en daarna zijn telefoon jatten in principe genoeg is. Dit komt meer in de buurt van een plausibel scenario dan een vingerafdruk van iemand bemachtigen, 3d printen en unlocken.
Daarbij laat je wel achterwege dat jij als gebruiker in staat bent je pincode geheim te houden, maar je gezicht en je vingerafdrukken kun je niet geheim houden. tenzij je overal heen gaat met een bivakmuts op en handschoenen aan en die alleen afdoet als er niemand in de buurt is die een camera zou kunnen hebben.

Wil je een authenticatiemethode die altijd onveilig is, of een die alleen onveilig is als je niet oplet?

[Reactie gewijzigd door Origin64 op 23 mei 2017 16:22]

uiltje
@Xerxes24923 mei 2017 20:28
Ik heb voor de gein wel eens geprobeerd een foto te maken van mijn vingers. Dat is verre van onmogelijk. In principe kan je daarmee de splitsingen van de lijnen (de minutia) ook prima uittekenen. Het maken van een vingerafdruk van de foto ging me op dat moment wat ver, er ik blijf die gummi-beertjes maar opeten, en ik weet dus niet of ik daarmee de scanner al kan foppen.
Xerxes249
@uiltje23 mei 2017 20:52
https://www.youtube.com/watch?v=gUJ0D63GPfY
Lennie
@laptopleon23 mei 2017 13:57
Toen dat uit kwam duurde het een paar dagen voordat het gebroken was:

https://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid
Youri219
23 mei 2017 13:30
Dit is ook wel een interessante link:
http://www.nu.nl/internet...uitse-minister-fotos.html
Vingerafdruk Duitse minister van defensie
Irisscan Angela Merkel

Of deze iets oudere, een Duitse minster die enorm voorstander was van vingerafdrukken:
https://www.privacyfirst....inister-gepubliceerd.html

Biometrische informatie alleen lijkt dus onveilig te zijn, je hebt altijd nog een andere vorm van authenticatie nodig.
Anoniem: 310408
23 mei 2017 13:36
"Ze maakten daarbij gebruik van een digitale camera met een 200mm-lens in de night shot-modus"
"de methode in principe ook mogelijk is met een foto met hoge resolutie van internet."

Die combinatie maakt het 'in principe' nier erg waarschijnlijk. Ik kan zo snel geen enkele foto vinden op het wijde web die daarvoor geschikt zou zijn, laat staan een foto van diegene wiens telefoon ik net gestolen heb.

Verder is dit natuurlijk meer sensatie dan een echt gevaar. Om in te breken moet je een hele goede foto maken van de gebruiker, recht in de ogen van dichtbij. Daarna moet je zijn telefoon stelen en hopen dat het lukt.

Al met al geen enkel gevaar voor de doorsnee gebruiker
Lennie
@Anoniem: 31040823 mei 2017 14:00
Dicht bij ? Nee, alleen hoge resolutie:

https://www.youtube.com/watch?v=VVxL9ymiyAU (Engelse vertaling)

https://www.youtube.com/watch?v=YE1EoxKV53w (Duits)

[Reactie gewijzigd door Lennie op 23 mei 2017 14:18]

Jortio
@Lennie23 mei 2017 18:12
Nee, zeker bij donkere ogen gaat je dat niet lukken met een simpele foto van het internet, aangezien je een IR foto nodig hebt. Dus van een camera met nightshot modus (bepaalde Sony camera's tot zo'n 10 jaar geleden) of dedicated /omgebouwde IR camera.

Zoals ook uitgelegd in de video en het artikel.
MartijnDutch
@Anoniem: 31040823 mei 2017 17:10
300dpi is voldoende. Zoek eens op time magazine en iris
Prulleman
23 mei 2017 13:48
Zijn er nou ook mensen die zich hier druk om maken en het daarom niet meer gebruiken?? Ik vind het prima dat een willekeurige voorbijganger die mijn telefoon vind er niet gelijk in rond kan neuzen, of dat als ik em op mijn bureau laat liggen dat collega's er geen geintjes mee uit kunnen halen. Maar ik zie mezelf niet als mogelijk doelwit, waardoor ik beter een anders soort beveiliging op mijn telefoon moet zetten...

(als je nou in de politiek zit of bekend van weet ik veel wat, dan kan ik me voorstellen dat je een doelwit kan zijn waar kwaadwillenden dit soort trucen voor uit willen halen, maar voor jan met de pet...??? 8)7 )
Origin64
@Prulleman23 mei 2017 19:04
Voor jan met de pet is de vraag meer: voor welk probleem is dit de oplossing? Je kunt al een pin code of zo'n vormpje als password gebruiken, die kan geraden of gelezen worden net als dat iemand je vingerafdruk zou kunnen kopieren. het voegt gewoon niets toe.

[Reactie gewijzigd door Origin64 op 23 mei 2017 19:05]

R-v-R
23 mei 2017 13:06
"De CCC meldt dat het duurste onderdeel bij de methode de aanschaf van de telefoon was"

Als je het toestel zelf aanschaft hoef je de iris scanner helemaal niet te foppen ;)
Stoney3K
@R-v-R23 mei 2017 13:13
"De CCC meldt dat het duurste onderdeel bij de methode de aanschaf van de telefoon was"

Als je het toestel zelf aanschaft hoef je de iris scanner helemaal niet te foppen ;)
Ik denk niet dat het gewaardeerd zou worden als ze voor een proof-of-concept even andermans telefoon zouden stelen en daar toegang tot zouden verschaffen. ;)

Wat ik me nu wel afvraag is of de Privium scanners op Schiphol op dezelfde manier te foppen zijn.
R-v-R
@Stoney3K23 mei 2017 13:23
Ik vind het gewoon vreemd dat de telefoon qua kosten als onderdeel van de methode wordt beschouwd. Als ik een apparaatje voor 30 euro in elkaar zet waarmee ik Ferrari's kan stelen dan reken ik die Ferrrari's ook niet mee in de kosten van de methode.
Dat probeerde ik (onhandig) te verwoorden ;)
MartijnDutch
@Stoney3K23 mei 2017 17:08
Nee. Plus dat daar bewaking is die het opmerkt als je daar met een a4tje voor de camera staat te zwaaien |:( |:(

[Reactie gewijzigd door MartijnDutch op 23 mei 2017 17:09]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee