Chinese onderzoekers bruteforcen vingerafdrukscanner Android-smartphones

Chinese onderzoekers hebben een manier gevonden om Android-telefoons binnen te dringen door de vingerafdrukscanner te bruteforcen. Daarbij waren een oneindig aantal pogingen mogelijk door gebruik te maken van enkele kwetsbaarheden.

Aanvallers zouden lang fysieke toegang moeten hebben tot het apparaat om de aanval uit te voeren, melden de onderzoekers in hun paper op Arxiv. Ook vereist het aangepaste hardware om de nagemaakte vingerafdrukken in te voeren op de scanner. Die hardware kost in totaal rond de 15 dollar, zo schatten de onderzoekers in.

Alle onderzochte Android-apparaten waren kwetsbaar voor de aanval. Het gaat in alle gevallen om Android-telefoons van enkele jaren geleden. Omdat de kwetsbaarheden mogelijk met updates te verhelpen zijn, is het mogelijk dat de exploit al niet meer werkt. Daar zeggen de onderzoekers niets over. Op iPhones kunnen de onderzoekers door de aanval het aantal pogingen verhogen van vijf naar vijftien, maar de exploit is daarmee niet goed mogelijk.

De meeste telefoons zijn kwetsbaar voor Cancel-After-Match-Fail, een kwetsbaarheid waarbij het apparaatje een fout in de checksum genereert, waardoor de telefoon wel kijkt of de vingerafdruk klopt, maar niet doorgeeft dat het fout is. Daardoor zijn ongelimiteerde pogingen mogelijk.

Bij sommige telefoons combineerden de onderzoekers dat met Match-After-Lock, een manier om toch pogingen te kunnen doen als de telefoon tijdelijk vergrendeld is vanwege te veel foute pogingen. Vervolgens kunnen de onderzoekers de telefoon in met de juiste vingerafdruk als de lock-outperiode is afgelopen.

De impact van de kwetsbaarheden is beperkt, omdat het lange toegang tot een apparaat vereist. Een exploit op afstand is hiermee onmogelijk. Bovendien is onduidelijk of smartphones al zijn gepatcht. De onderzoekers zijn van de Zhejiang-universiteit in China en het Xuanwu Lab van techgigant Tencent. Zij noemen de exploit Bruteprint.

BruteprintBruteprint
BruteprintBruteprintBruteprint

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 22-05-2023 14:49 32

22-05-2023 • 14:49

32

Lees meer

FTM: veel vitale sectoren gebruiken risicovolle Chinese communicatieapparatuur
FTM: veel vitale sectoren gebruiken risicovolle Chinese communicatieapparatuur Nieuws van 17 september 2023
Google: vertraging vingerafdrukscanner Pixel 6 is te wijten aan beveiliging
Google: vertraging vingerafdrukscanner Pixel 6 is te wijten aan beveiliging Nieuws van 8 november 2021
MediaMarkt stopt met afnemen vingerafdrukken van werknemers na kritiek van FNV
MediaMarkt stopt met afnemen vingerafdrukken van werknemers na kritiek van FNV Nieuws van 1 november 2021
Samsung presenteert externe ssd met vingerafdrukscanner
Samsung presenteert externe ssd met vingerafdrukscanner Nieuws van 9 januari 2020
Nieuwe ultrasone vingerafdrukscanner Qualcomm kan twee vingers tegelijk scannen
Nieuwe ultrasone vingerafdrukscanner Qualcomm kan twee vingers tegelijk scannen Nieuws van 3 december 2019
Meer producten en artikelen
Smartphones Beveiliging en antivirus Privacy

Reacties (31)

-Moderatie-faq
31
30
14
2
0
11
Wijzig sortering
TheAncientDovah 22 mei 2023 15:04
Ik weet niet goed wat ik van dit nieuwsartikel moet vinden omdat er eigenlijk zonder al te kritische blik over een onderzoeksartikel wordt gerapporteerd. Dit onderzoeksartikel is alleen beschikbaar op arXiv, wat een pre-pubicatie platform is. Dat wil zeggen dat iedereen daar een artikel kan publiceren en dat de gepubliceerde artikelen niet peerreview hoeven te zijn. Het gelinkte artikel is naar mijn weten nergens anders gepubliceerd en is naar mijn weten geen peer-review ondergaan. De kwaliteit van het onderzoek staat dus mogelijk ter discussie.

Chinese (ook uit andere landen) wetenschapsartikelen zijn eerder in opspraak gekomen (https://www.nature.com/articles/d41586-021-02587-3), daarom is het belangrijk dat we onze ogen open houden voor mogelijke fouten. Er worden dagelijks honderden wel peerreviewed papers gepubliceerd die relateren aan IT, waarvan maar een klein deel media-aandacht krijgt. Voor mij is het niet duidelijk waarom deze niet peerreviewed paper wel aandacht verdient in tegenstelling tot al die andere papers.

Zoals dit nieuwsartikel ook al zegt, is de impact sowieso beperkt omdat er fysieke toegang tot het apparaat nodig is. Het versterkt eigenlijk alleen maar de vraag waarom hierover gepubliceerd wordt in de vorm van een nieuwsartikel.
GertMenkel
@TheAncientDovah22 mei 2023 15:22
Als ik het paper zo doorlees zie ik geen enkele reden om te twijfelen over de echtheid van het onderzoek. De aanvalsmethode klinkt aannemelijk, er worden geen uitzonderlijke claims gedaan, en de oplossing kan met een update worden gerepareerd. Er zitten ook aardig wat nadelen aan de aanvalsmethode (zo kun je niet betalen of bepaalde systemen benaderen met dezelfde nagebootste vingerafdruk).

Het zou natuurlijk mooi zijn als iemand de resultaten kan repliceren. De aanvalsmethodiek is best simpel dus in theorie kan iedereen met een oude telefoon en een vaste hand dit gewoon uitvoeren.
Anoniem: 718943 @GertMenkel22 mei 2023 17:05
Dat is dus het hele peer-reviewen, Een paper wordt dan onder de loep genomen door experts in het vak.
Ik zie wel een hoop spul wat aannemelijk is, maar ik weet dan ook niet of die checksum exploit werkt zoals die werkt, of Uberhaupt bestaat. De apparatuur klinkt ook wel aannemelijk, maar ik ken de architectuur van een vingerafdrukscanner ook niet; reageert dat ding op warmte/Infrarood of registreert ie een monochrome afdruk? Kortom, kan dit wel werken op zo'n scanner?

Je moet eens weten hoeveel bogus papers gepubliceerd worden enkel en alleen om aandacht te vestigen op de 'onderzoeker'.
Ruw ER 22 mei 2023 14:54
Ik ken iemand van vroeger, die werkt bij de recherche oid. Toevallig sprak ik hem laatst, en zijn werk is oa het lezen van gesprekken in telefoons van verdachten. Volgens hem was het totaal niet moeilijk om in mobiele telefoons te komen. Ze hadden daar gewoon de apparatuur voor.

Is dat zo? Of krijgt ie wel data dat uit een telefoon is getrokken nadat er geforceerd een duim op de scanner is gelegd, of de telefoon voor het gezicht gehouden. Heb hem maar kort gesproken, maar volgens hem waren telefoons totaal niet veilig, ongeacht je merk of OS.
Ro4x @Ruw ER22 mei 2023 15:06
Ik werk binnen een soortgelijke organisatie en vervul soortgelijk werk. Er zijn tools die dit vergemakkelijken / automatiseren. Denk hierbij aan de GrayKey en de Cellebrite UFED. Beide tools kunnen hierbij helpen. Echter veranderd het vaak hoe makkelijk dit werkt. Dit ligt vooral aan het aantal exploits dat dit soort bedrijven gebruiken om via deze tools bij de informatie te kunnen. Ook verschilt het enorm per merk en software versie. Als de software up to date is is het weer lastiger. Zo is een iPhone 12 of nieuwer met de nieuwste iOS versie momenteel niet uit te lezen. Echter zal dit een kwestie van tijd (weken, soms maanden) zijn voordat dit wel kan. Vervolgens komt er weer een beveiligingspatch en dan begint de cirkel weer opnieuw. Daarnaast maakt het bij iPhones ook veel uit of ze uit hebben gestaan of niet. Bij Android toestellen gaat het vaak wat makkelijker, maar de rode draad is hetzelfde.

Daarnaast kun je forensisch heel ver gaan en de complete telefoon uit elkaar sleutelen en uitlezen, dit is enorm arbeidsintentsief, biedt geen garantie op succes en wordt daarom ook echt alleen in uiterste gevallen in zeer omvangrijke zaken gedaan als alle andere middelen niet voldoende blijken.

Ook sta je ervan te kijken hoeveel mensen een geboortedatum van hem/haar/zoon/dochter of postcode als toegangscode hebben. Als je vervolgens geen limit zet op het maximaal aantal pogingen hebben we langs die weg ook zo nu en dan noemenswaardige successen.

[Reactie gewijzigd door Ro4x op 29 juli 2024 02:28]

TheVivaldi @Ro4x22 mei 2023 17:21
Werken die tools eigenlijk platform-onafhankelijk? Ik gebruik namelijk Ubuntu Touch (en heb ook de vingerafdrukscanner op Ubuntu Touch in gebruik) en ben wel eens benieuwd of je daar met de door jou gebruikte tools ook in zou kunnen komen.

[Reactie gewijzigd door TheVivaldi op 29 juli 2024 02:28]

Palomar @Ruw ER22 mei 2023 15:00
Volgens mij zijn Apple-telefoons wel redelijk veilig. Zijn in het verleden meerdere nieuwsberichten geweest dat Apple-telefoons van verdachten niet te unlocken waren. Zelfs niet door Apple zelf. Bij Android hangt het volgens mij af van de versie van Android en of het filesystem encrypted is. Al kun je bijv. bij zo'n veegpatroon-beveiliging soms wel aan de veegsporen op het scherm zien wat het patroon is... En pincodes op basis van geboortejaar zijn vaak ook geen rocket science om te 'hacken'.

[Reactie gewijzigd door Palomar op 29 juli 2024 02:28]

Vlizzjeffrey @Palomar22 mei 2023 15:11
Dat was voordat de Pegasus hacking tools er waren, jaren geleden, sinds Pegasus hebben we nooit meer iets gehoord over overheden die niet in verdachte hun iphones konden komen.
WhatsappHack
@Vlizzjeffrey22 mei 2023 15:21
Pegasus was meer voor remote targets die al in vizier waren én moest de payload afgeleverd kunnen worden wat niet altijd kon of slaagde. Bij inbeslagnames heb je daar weinig aan, daar had je UFED Touch en GrayKey voor; maar die werken al een aantal iOS/hardwareiteraties niet meer en hoor je wel degelijk klachten over en weer gezeik over verplichte backdoors inbouwen.
WhatsappHack
@Palomar22 mei 2023 15:13
Cellebrite en GrayShift hebben het wel gefixt. GrayKey kon naar verluidt via Lightning een exploit uitbuiten om iPhone’s binnen te dringen door brute force detectie steeds te resetten. Koste geloof ik slechts een slordige $5K per device ofzo en werkte daarnaast niet betrouwbaar als je een beetje fatsoenlijke code (8 vars+) of password had ingesteld. Je hoort hier de laatste jaren echter niets meer over sinds Apple daar om meerdere redenen nogal pissig over was en min of meer de oorlog eraan verklaarde; en het lijkt erop dat Apple met de nieuwe maatregelen (waaronder het niet zomaar kunnen koppelen van USB-devices en verder dichttimmeren van de Secure Enclave) en security patches het apparaat idd onklaar heeft gemaakt en voorlopig even de overhand in de oorlog heeft betreffende dat soort devices.

[Reactie gewijzigd door WhatsappHack op 29 juli 2024 02:28]

Z100 @Palomar22 mei 2023 15:43
FBI had ooit een iPhone gekraakt. Natuurlijk met behulp van een Israelisch bedrijf (die horen meestal nu eenmaal bij de wereldtop). Maar een gemiddelde rechercheur, of zelfs onze AIVD & MIVD? Nope. Intern hebben ze waarschijnlijk niet de capaciteit daar voor.

Maar niet om een 'niets is veilig, dus gooi alles overboord' te doen hoor. Het meest veilig zijn iPhones. Daarna zou ik zeggen Samsung. En de rest? ¯\_(ツ)_/¯ Ik heb de indruk dat de eerste twee partijen het meeste budget stoppen in security dan de anderen. In de praktijk maakt het voor de gemiddelde persoon niet zo'n groot verschil. De meesten van ons zijn niet interessant genoeg om poeder voor te strooien voor vingerafdrukken, of PIN/patronen op te nemen, en dan vervolgens ook nog het apparaat in kwestie van je doelwit te jatten.

Ik neem extra beveiligingsmaatregelen die ik hier natuurlijk niet ga delen, maar dat is omdat mijn ego te groot is en ik permanent paranoïde ben sinds groep 8 toen een klasgenoot mijn MSN Messenger account overnam.
snah001 @Palomar22 mei 2023 15:07
Apple telefoons zijn net zo onveilig als Android telefoons en ons politie apparaat heeft daar speciale software voor om eenvoudig toegang te verkrijgen ongeacht het besturingssysteem.
Finraziel @snah00122 mei 2023 15:39
Is dat diezelfde software waar ze ook plaatjes van 20 jaar oude beveiligingscamera's 1000 keer kunnen inzoomen en dan enhance roepen zodat ze in de reflectie op een chromen autobumper kunnen zien wie de dader is? :+
Dark Angel 58 @snah00122 mei 2023 16:36
Apple telefoons zijn net zo onveilig als Android telefoons en ons politie apparaat heeft daar speciale software voor om eenvoudig toegang te verkrijgen ongeacht het besturingssysteem.
Ook al dat het wachtwoord optie aan staat dat bij 10 keer foutief wachtwoord alles wordt gewist?
Ruw ER @Palomar22 mei 2023 15:41
Ik had het idee dat die rechtzaken om Apple mee te laten werken meer politiek waren. Ze konden er wel in, maar zou makkelijker zijn als Apple mee zou werken. Dat dat de inzet was.
EldraziKlap @Ruw ER22 mei 2023 20:55
Ik gok dat hier nog bij opgeteld kan worden dat je het natuurlijk niet aan de grote klok gaat hangen (als je CIA of FBI bent oid) als je dit wél kan.
himlims_ @Ruw ER22 mei 2023 15:00
Recentelijk filmpje/instructie gezien hoe dit met een iPhone zou werken (unlocken via code - niet via gezicht herkennen)

Daarbij is ook (langdurige) en fysieke toegang tot device vereist.

Maar gezien de huidige software ontwikkelingen, 0day bugs, ongekende zwarte markt en potentieel financieel gewin bij commercieel uitbaten van bugs, lijkt het me vrij realistisch dat fysieke toegang niet altijd meer nodig is.

Een gezichtsherkenning werkt niet direct met een 3D model van je smoel, maar met een “hash” gebaseerd/gegenereerd dmv jouw unieke gelaatstrekken.

Als ik het artikel goed begrijp heeft men een creatieve manier bedacht om deze te maximaal aantal pogingen te “omzeilen”, en zo ongelimiteerd “hashes” blijven duwen. Beetje vergelijkbaar met de “hack” voor iPhone
DigitalExorcist @Ruw ER22 mei 2023 15:01
Ligt eraan. We wéten dat er firma's zijn die tools en apparatuur verkopen om in een telefoon te komen, maar ook dat fabrikanten het er veel aan gelegen is om dat te voorkomen.

Voor de rest heb je nog een rechtsysteem; je hoeft niet mee te werken aan je eigen veroordeling (dus je hoeft geen password/code af te geven) maar ze mogen wel je telefoon tegen je duim aan houden..

Maw. het hoeft idd niet lastig te zijn. Maar elke 'horde' die je opwerpt is er ééntje die weer extra tijd en moeite kost.

[Reactie gewijzigd door DigitalExorcist op 29 juli 2024 02:28]

Rouwette @DigitalExorcist22 mei 2023 16:07
Er is een manier om voor je iPhone met vingerafdruk te forseren dat de code ingevoerd moet worden en dat de vinger niet meer werkt.

Powerknop ingeduwd houden maar niet afsluiten. Je moet nu de code invoeren, vingers werken niet meer.
Of dat met FaceID ook werkt weet ik niet.
Cerberus_tm @Rouwette22 mei 2023 23:47
Met Android kan dat ook: ofwel je telefoon herstarten, ofwel een aantal keer met een verkeerde vingen tegen de scanner tot hij blokkeert.
CyberJohn @Ruw ER22 mei 2023 15:12
Het is deels waar, ben redelijk thuis in de materie. Het is altijd een race tegen de updates van het toestel. Veel van deze tools maken gebruik van lekken in het systeem van het toestel. Deze worden gedicht en moet er een nieuw lek gebruikt worden. Hele basale voorbeelden zijn het omzeilen van de FRP lock van Android toestellen, enorm afhankelijk van de security updates.
magnifor @Ruw ER22 mei 2023 15:12
Er zijn bedrijven die hardware ontwikkelen om toestellen te unlocken dan wel een dump te maken met alle content inbegrepen. Deze apparatuur wordt in normale omstandigheden alleen aan overheden en haar organen verkocht zoals de politie etc. Een van de bekendste is Cellebrite uit Israel:

https://en.m.wikipedia.org/wiki/Cellebrite

Het is en blijft een kat-muis spel tussen telefoonfabrikanten en partijen als Cellebrite:

https://www.businessinsid...ernational=true&r=US&IR=T
ELKAY_ 22 mei 2023 15:16
Het gaat er dus eigenlijk om dat 'de bruteforce mogelijk gemaakt wordt', het gaat niet om een succesvolle bruteforce of inbraak op een Android telefoon.

Wel grappig, hoe ze dat doen. Maar vervolgens het succesvol bruten van een fingerprint is natuurlijk "onmogelijk" (te veel mogelijkheden).
EldraziKlap @ELKAY_22 mei 2023 20:56
Met de huidige iteratie processorsnelheid denk ik niet dat dit erg lang gaat duren, dat onmogelijke... Kost alleen wat meer tijd.
ELKAY_ @EldraziKlap23 mei 2023 10:38
Heel, heel heel veel tijd.
Stijnvi 22 mei 2023 18:08
Alle onderzochte Android-apparaten waren kwetsbaar voor de aanval. Het gaat in alle gevallen om Android-telefoons van enkele jaren geleden. Omdat de kwetsbaarheden mogelijk met updates te verhelpen zijn, is het mogelijk dat de exploit al niet meer werkt. Daar zeggen de onderzoekers niets over.
Als je dan een wetenschappelijk artikel publiceert is het ook wel handig om dit te testen op daadwerkelijk moderne apparaten.
De lijst aan apparaten die ze getest hebben is als volgt:
Xiaomi Mi 11 Ultra (A11)
Vivo X60 Pro (A11)
OnePlus 7 Pro (A11)
OPPO Reno Ace (A11)
Samsung Galaxy S10+ (A9)
OnePlus 5T (A8)
Huawei Mate30 Pro 5G (HarmonyOS 2)
Huawei P40 (HarmonyOS 2)
Apple iPhone SE (iOS 14.5.1)
Apple iPhone 7 (iOS 14.5.1)

Hoewel dit apparaten zijn die nog veelvuldig gebruikt worden, zijn deze inmiddels ook nogal outdated, en krijgen veel van de Android toestellen ook geen security updates meer.

Wat wel verrassend is om te zien, is dat de aanval werkte met alle drie de types sensoren, namelijk een capacitive sensor, een ultrasone sensor en een optische sensor.
mutley69 22 mei 2023 21:02
Deugt biometrie wel als wachtwoordvervanger? Ikzelf denk dat het absoluut af te raden is! Is dit geen bewijs? (het zoveelste)?
YGDRASSIL @mutley6922 mei 2023 22:42
Je kan inderdaad veiliger een lang en ingewikkeld password intikken elke keer als je je telefoon wil gebruiken :O
uiltje @mutley6923 mei 2023 00:28
Het is meer een bewijs dat je biometrie kan hebben terwijl de meest eenvoudige beveiligingsmiddelen over het hoofd worden gezien.
  • krijg een melding binnen dat biometrie gebruikt wordt
  • breng het aantal overgebleven biometrie-pogingen terug met 1
  • indien afgebroken tel er weer 1 bij op, of bij succesvol ingelogd zet weer terug op max.
Het liefst heb je het tellertje binnen een secure omgeving, maar zelfs dan moet je wel van te voren een poging weghalen.
Waarnemer 23 mei 2023 07:16
Ik las de titel en ik dacht.. "tja, dat kan alleen in landen met miljarden inwoners.. waar haal je anders zoveel vingers in een kort tijd vandaan........?"

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq