Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties
Submitter: Zinloos1

Het is een Duitse beveiligingsonderzoeker gelukt om de vingerafdrukscanner van de Galaxy S5 te foppen door een dummy van zijn eigen vingerafdruk van houtlijm te gebruiken. Hij gebruikte daarvoor dezelfde dummy als die om Touch ID op de iPhone 5s te omzeilen.

De methode werkt door een vingerafdruk van bijvoorbeeld de achterkant van een telefoon op de foto te nemen en van die foto een mal te maken. Met die mal kan een kwaadwillende de vingerafdruk reproduceren op bijvoorbeeld houtlijm. Door de dummy van houtlijm op de eigen vinger te leggen, kan de onderzoeker de vingerafdrukscanner van de Galaxy S5 foppen, meldt Heise.

Dezelfde methode werkte ook op de iPhone 5s en is vermoedelijk ook bruikbaar voor alle andere vingerafdrukscanners die in gebruik zijn. Huidige vingerafdrukscanners leggen het patroon vast met hoge precisie, maar hebben geen manier om te checken of er echt een vinger op de scanner ligt.

De methode lijkt makkelijk, maar vereist wel toegang tot de nodige materialen en vooral tijd. Bovendien zal het lastig zijn om een vingerafdruk op de achterkant van de Galaxy S5 te vangen, zoals de onderzoeker bij de iPhone 5s deed. De achterkant toont vingerafdrukken minder goed. Het risico bij een Galaxy S5 is in potentie wel groot, omdat gebruikers de vingerafdruk ook kunnen gebruiken voor transacties met PayPal. Het is tot op heden onbekend hoeveel mensen de vingerafdruk als methode van authenticatie gebruiken voor PayPal op de Galaxy S5; de telefoon ging vorige week in de verkoop.

Vingerafdrukscanner foppen op Galaxy S5

Moderatie-faq Wijzig weergave

Reacties (63)

Groot verschil tov de iPhone is wel dat Samsung een ontelbaar aantal pogingen toestaat om de telefoon middels de fingerprint scanner te ontgrendelen; er wordt niet na een aantal mislukte pogingen naar een passcode gevraag zoals bij de iPhone.

Ook als het toestel uit- en weer aangezet wordt blijft de fingerprint scanner authenticatie methode direct beschikbaar; er wordt niet naar een passcode gevraag zoals bij de iPhone.

Daarnaast kun je met de Samsung eenmaal geauthenticeerd gelijk PayPal gebruiken, bij de iPhone is dat niet mogelijk.

Kortom: de Samsung is sloppy met mislukte authenticatiepogingen en het risico is ook nog eens groter omdat er potentieel PayPal transacties in het spel zijn. Het lijkt er op dat Samsung zn vingerafdruk technologie security niet goed doordacht heeft.
Klopt. Ze hebben er uiteraard over nagedacht om het aantal poging te limiteren. Blijkbaar zijn ze tot de conclusie gekomen dat de scanner niet dusdanig goed werkt, dat ze dit kunnen implementeren. Want het is natuurlijk vervelend als je 5 goede pogingen doet, en dat vervolgens de boel geblokkeerd wordt vanwege een ondermaatse scanner.
Hmja, maar in de praktijk, lees ik in de grote tweakers Samsung S5 review (ZEER GOED!) , wordt de fingerprintscanner toch uitgezet, omdat deze niet lekker werkt. Dus het maximum aantal pogingen om te authenticeren met de fingerprint oplossing van Samsung is dan 0 ipv oneindig.
Samsung heeft hier gelukkig dan de functie in gebouwd dat de scanner zelf gewoon de helft van de tijd niet werkt als je wel de juiste echte vinger gebruikt.

Dan moet het bij een gekopieerde vingerafdruk minimaal net zo vaak fout gaan; zullen ze wel gedacht hebben...
Grootste kans dat een derde je data op je telefoon in kan zien, komt denk ik voort uit dat veel apps gewoon standaard op het platform veel rechten krijgen om data uit te lezen. Niet uit dat je de vingerprintscanner kan foppen.

Dit toont wel aan dat 2-weg authentificatie altijd beter is dan singuliere authentificatie.
Ook bij andere nieuwe biomedische technologie als gezichtsverificatie denk ik dat een goede foto wel eens het trucje zou kunnen doen.

[Reactie gewijzigd door 3x3 op 16 april 2014 10:35]

Klopt, want het beveiligingsrisico bij de Galaxy S5 lijkt zelfs groter te zijn dan bij de iPhone 5S. Volgens CT vervangt de vingerafdruk namelijk de complete toegangscode, terwijl bij de 5S de toegangscode nog steeds als security token functioneert om gegevens te decoderen. Je hebt dus eigenlijk meteen complete toegang tot het apparaat.
De vingerafdrukscanner is voor de iPhone slechts een manier om je te behoeden voor het steeds weer opnieuw invoeren van ellenlange wachtwoorden (Apples Touch ID). De code is en blijft het belangrijkste security token dat nodig is om de gegevens te decoderen. Bij de Samsung vervangt de vingerafdruk de toegangscode blijkbaar volledig. Je hebt weliswaar een wachtwoordcode nodig, maar blijkbaar alleen als back-up indien de sensor het niet doet.

Dat lijkt een tamelijk onbelangrijk detail , maar het maakt wel een verschil: Als iemand een uitgeschakelde of vergrendelde iPhone in zijn vingers krijgt, heeft ondanks Touch ID geen kans om bij de speciaal beveiligde gegevens te komen zonder de toegangscode. Bij de S5 dreigt het slachtoffer ook gelijk een financieel risico te lopen als iemand zijn vingerafdruk heeft gekopieerd. Want met de vingerafdruk kan de gebruiker ook betalingen in apps zoals Paypal goedkeuren. Schlabs kon namelijk meteen geld overboeken met zijn dummy.
Bovendien is zelfs na een herstart geen wachtwoord vereist en zit er geen limiet aan het aantal pogingen om met je vinger in te loggen. Gelukkig is dit geen probleem in de hardware en zou Samsung dit dus moeten kunnen oplossen in een update.
Het past in een traditie van zwakke beveiligingssoftware.
Over het parade-paardje knox wordt ook het volgende gezegd:
Samsung’s Knox smartphone security system could be breached by a children’s game 4 dec'13
The Knox architecture features a regular phone environment as well as a secure container that is supposed to add security protection to the phone. All data and communications that take place within the secure container are protected and even if a malicious application should attack the non-secure part all the protected data should be inaccessible under all circumstances. However, the newly found breach can be used to bypass all Knox security measures. By simply installing an “innocent” app on the regular phone (in the non-secure container) all communications from the phone can be captured and exposed. 24-dec
Global Enterprise Services president John Sims issued a scathing statement claiming that Samsung’s Knox platform is unsuitable for high-security enterprise environments.22jan
Ook typisch is, dat de toestellen bij zowel het witte huis, als het pentagon al tijden goed zijn gekeurd om te testen. Maar er 0 toestellen 'uit de testfase' worden genomen. In tegenstelling tot Iphone en Blackberry.

[Reactie gewijzigd door 3x3 op 16 april 2014 12:19]

Sorry, maar waar lees jij in het artikel dat er 0 android toestellen in gebruik zijn? Er staat alleen dat Obama zijn blackberry niet opgeeft. Daarnaast iphones in gebruik???

" It’s worth noting that there aren’t any Chinese products that the Pentagon is looking at for any level of secure communications, including, at this point, the Apple iPhone."
Denk je nu echt dat het witte huis een koreans toestel gaat gebruiken in plaats van een amerikaans? Daarvoor zijn ze veel te patriotisch ingesteld.
Belangrijkste is dat het veilig is.

Android is Amerikaans.En zowel Iphones als Androids worden in praktisch altijd in China gemaakt. Motorola (eigendom van chinezen) is het enige merk dat in Amerika op grote schaal telefoons produceert. Enige fabrikant die, het ontwerpen van telefoons, ontwerpen van software, ontwerpen van encryptie standaarden en de productie van telefoons allemaal op het Amerikaanse continent doet is Blackberry. Met de kantoren in canada, en productie in Mexico zit de hele keten wel buiten de VS zelf.
Voor high level worden er op de devices wel costum versies geplaatst, vaak van Amerikaanse programmeurs.

Dus sowieso is de VS afhankelijk van buitenlandse smartphones.

[Reactie gewijzigd door 3x3 op 16 april 2014 12:20]

Alles is te hacken maar de standaard regel is: "Minimize the attack force surface and maximize the workload." Zo'n vingerscanner is gewoon handig en als je het vergelijkt met bv een swipe logon is het swipe gebied met zon scanner al beperkt tot 2cm2 ipv je hele scherm. Als iemand zijn telefoon poetst en een swipe-logon uitvoerd is de logon ook makkelijk te herkennen door het "veeg" patroon op het scherm.

[Reactie gewijzigd door toet-toet op 16 april 2014 14:50]

Ondanks dat het kan, moeten ze nog steeds je toestel zien te krijgen... als je die kwijt bent heb je in mijn ogen nog ruim voldoende tijd om het een en ander te blokkeren voordat een replica is gemaakt van je vinger afdruk. Ik mag toch aannemen dat ik wanneer ik op mijn pc inlog met mijn PayPal account ik de functie met 1 druk op de knop kan deactiveren zodat deze niet meer gebruikt kan worden. Daarnaast kun je instellen dat je je toestel unlocked met bijvoorbeeld je pink. Doordat de achterzijde van de s5 geperforeerd is en dus nooit een volledige afdruk van je pink achterblijft en je het scherm normaal niet met je pink bedient lijkt me deze optie toch vrij veilig...
misschien handig om het icm gezichtsherkenning te doen. Lijkt me moeilijker om het te foppen dan. :)
`hoog-resolutie foto en klaar...

2 way = 1 biometrische en 1 typografische sleutel lijkt me...
En jij denkt dat consumenten dat ook daadwerkelijk gaan gebruiken?
je zult toch echt een balans moeten vinden tussen bruikbaar en beveiligbaar.

Vingerscanner inc wachtwoord is leuk maar onbruikbaar alleen een wachtwoord of vingerscan is bruikbaarder en vriendelijker.

Als Samsung die techniek gebruikt maar niet goed uitwerkt zoals in dit geval Apple wel redelijkerwijs heeft gedaan. Is het onveilig. Maar een combinatie zoals reboot van de Phone en om de x dagen je TouchID bevestigen met een Pascode is een stuk veiliger en bruikbaarder!! Dan onbeperkt iemand te kunnen laten inloggen.
De snelheid is bij gezichtsherkenning alleen te laag op telefoons (zover ik weet), wat het niet praktisch maakt in gebruik
Misschien wel om iemand uit een grotere groep mogelijkheden te herkennen. Niet om te controleren of degene die in de camera kijkt de gebruiker is.
Geen idee of ze het al verbeterd hebben, maar de vorige gezichtsherkenning viel ook te foppen met simpele foto's. Op die manier wordt het niet moeilijker, maar gewoon (een klein beetje) meer werk.

Enige wat ze er tegen hebben gedaan, naar mijn weten, is de optie toevoegen dat de telefoon nu ook vraagt om je ogen dicht te doen. Dan pas wordt het iets moeilijker om het toestel te foppen, maar...
Of je gebruikt een camera die dit kan.
http://www.extremetech.co...es-with-smartphone-camera
En een vingerafdruk sensor die dat ook kan, en checkt of er een pulse is en of deze in sync is. Lijkt me vrij moeilijk te hacken met wat lijm.
Gewoon een selfie voor je camera houden :)
Op Android zit sinds enige tijd ook gezichtsherkenning, maar deze werkt ook niet foutloos. Bij het uitproberen werd mijn tablet ge-unlocked met het gezicht van mijn zusje (ik ben een man) 8)7
Je tablet insinueert dat je zusje eruit ziet als een man. Pak em aan! 8)7
Of dat Bignaatje eruit ziet als een klein meisje (in de veronderstelling dat je 'zusje' een klein meisje is) :p
Of dat BigNaatje eruit ziet als een vrouw. 8)7
Of nog zo'n fijne: mijn partner kreeg toegang door zijn haar te leggen zoals het mijne en mijn bril aan te doen.

Ik heb het gevoel dat Android te veel naar oppervlakkige features zoals haarkleur en bril kijkt en te weinig naar echte vormfeatures.
Bril aan te doen?...
Ja lekker handig in het donker
Als je unlockscreen maar genoeg licht geeft, is dat geen probleem.
Waarschijnlijk hebben Samsung en Apple besloten om hier geen extra resources in te pompen. Het is allemaal heel vervelend dat de scanner gefopt kan worden, maar als een echte bedreiging zie ik het niet. En Apple en Samsung zullen het ook niet zien. Want het kost waarschijnlijk behoorlijk veel geld om het beter te maken. Iemand moet eerst een mal van je vingerafdruk zien te maken. Het is makkelijker om iemand te bedreigen en te dwingen zijn vinger erover te halen, denk ik dan.
Ik zie mensen hier wel 'professioneel' een handel in beginnen. In de stad een iPhone 5s of Samsung Galaxy s5 stelen, het naar een huisje in de stad brengen waar iemand met de apparatuur zit om de vingerafdruk na te maken, die de telefoon unlocked en ermee gaat betalen. Waarna ze een reset doen. Is het trouwens mogelijk om een nieuw wachtwoord in te stellen met alleen een vingerafdruk? Dan zou het al helemaal erg zijn.
Maar hoe komen ze dan aan een fatsoenlijke vingerafdruk? Lijkt me sterk dat een afdruk op het scherm zelf o.i.d. niet echt volstaat. Bovendien vind ik dat je op diefstal voorbereid moet zijn. Iedere fabrikant heeft volgens mij tegenwoordig opties om je telefoon op afstand te blokkeren en/of data te wissen (bijvoorbeeld Sony).
Dit ligt aan de sensor die Apple en Samsung hebben ingekocht.
Een tijd terug hebben de Mythbusters al eens aangetoond dat een veelgebruikte vingerafdrukscanner voor toegangscontrole voor gebouwen eenvoudig gefopt kan worden met een fotokopie.

Er zijn wel sensoren die ook kijken of de vinger wel 'leeft' (warmte/ bloedsomloop) maar die zijn ook meteen een stuk duurder en daardoor niet aanrekkelijk voor een smartphone.
Gosh mensen beheren hun complete vermogen met een viercijferige pin en een pasje daar hoor je niemand over.
Maar de telefoon ....................liefst zoveel mogelijk sloten, pin/swipe/smoelherkenning etc.....
En toch werkt dat allemaal aanzienlijk slechter dan de simpele 4 getallen. Ik laat liever een pinpas op de grond liggen dan een telefoon met bijv fingerprint, swipe of gezichtsherkenning. Daar kom je op 1 of andere manier nog wel doorheen.
Vandaar mijn sarcasme.
Heb op mijn toestellen allemaal een pinslot.
Een gejat toestel gaat eerder op aan onderdelen dan dat het om de data gaat.
Precies wat je zegt. En ik had de sarcasme even gemist ;-).
Ik zag laatst een nieuw type scanner die de hele vinger scanned, inclusief vingerafdruk. Deze checkt ook de samenstelling van je vinger, en kan zo ook zien of je bijvoorbeeld niet een afgehakte vinger gebruikt :P Het zou zelfs mogelijk moeten zijn om te zien hoe gestresst iemand is, en bij een bepaald niveau krijg je hem dan niet open 8)7
Ja ik weet het type scanner wat jij bedoelt: scant niet alleen de hele vinger, maar gaat de vochtigheid en hartslag (en voor het topmoddel zelfs zuurgehalte) na om te bepalen of jij het echt wel bent. Werkt inderdaad niet met afgehakte lichaamsdelen en kan (nog) niet omzeild worden. Het is vernuftig genoeg om rekening te houden met eventuele extra stress en kleine vervormingen, dus zelfs als je een zware dag achter de rug hebt of in je vinger hebt gesneden lukt het nog.

Wordt vooral gebruikt voor huisbewaking, als vervanger van de voordeursleutel of om in te loggen op een alarmsysteem.

Natuurlijk spreken we hier over toestellen die een pak meer kosten dan een dozijn smartphones tezamen.
Ja je zou maar een baaldag hebben. Werkt je nieuwe telefoon ook nog niet mee :P
Lekker dan als je de ambulance wilt bellen ofzo omdat je net een zwaar ongeluk gehad hebt en je klem in je auto zit. Moet je dus eerst bedenken: Ik moet rustig worden, ik moet rustig worden! Ha!
Haha ja dat is dacht ik meer bedoeld voor bij kluizen enzo, zodat je hem onder druk niet kunt openen:P Ik bedoel meer te zeggen dat het echt een stuk uitgebreider gaat worden dan het nu is, mooie technologieŽn :)
Vrijwel alle vingerafdrukscanners zijn hiermee voor de gek te houden. De Mythbusters hebben ook al verschillende methodes geprobeerd om professionele vingerafdrukscanners te omzeilen en dat is ook al kinderlijk eenvoudig (zelfs met een z/w afdruk van een vingerafdruk op a4) dus ik ben hier absoluut niet verbaasd over.

Het lijkt mij ook absoluut niet verstandig om gebruik te maken van een vingerafdruk voor het doen van betalingen, in ieder geval niet zonder daarnaast ook nog een code te moeten invullen.
Als de vingerafdruk als username gebruikt kan worden icm pincode/password dan lijkt me niet dat er een echt probleem is.
En dat is de reden waarom vingerafdrukken, irisscans, gezichtsherkenning en dergelijke, geen alternatief voor paswoorden mag zijn, maar slechts een alternatief voor usernames
Filmpje van hoe ze de vingerafdruk nemen en de namaak-afdruk fabriceren: hier.

Het is nog niet heel makkelijk en toegankelijk, je hebt wel wat apparatuur en ervaring nodig maar iedereen die zelf PCB's kan etsen zou dit moeten kunnen nadoen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True