Technocraten bouwen dingen zonder de juiste zorgen om de veiligheid, en je krijgt kwetsbaarheden die mensen ernstig kunnen schaden. Serieus, je 'ouderwetse' pincode werkt sowieso net zo goed als je vingerafdruk! ⁃ TN Editor
Vingerafdruksensoren hebben moderne smartphones omgezet in wonderen. Een aanraking van een vinger ontgrendelt de telefoon - geen wachtwoord vereist. Met services zoals Apple Pay of Android Pay kan een vingerafdruk een zak boodschappen, een nieuwe laptop of zelfs een kopen $ 1 miljoen vintage Aston Martin. En met een vinger in een bank-app kan een gebruiker rekeningen betalen of duizenden dollars overboeken.
Hoewel dergelijke tovenarij handig is, heeft het ook een gapend beveiligingslek achtergelaten.
Nieuwe bevindingen maandag gepubliceerd door onderzoekers van de New York University en Michigan State University suggereren dat smartphones gemakkelijk voor de gek kunnen worden gehouden door nepvingerafdrukken digitaal samengesteld uit veel voorkomende functies die voorkomen in menselijke afdrukken. In computersimulaties konden de onderzoekers van de universiteiten een set kunstmatige 'MasterPrints' ontwikkelen die tot tien procent van de tijd echte afdrukken konden vergelijken met die van telefoons die door telefoons worden gebruikt.
De onderzoekers hebben hun aanpak niet getest met echte telefoons, en andere beveiligingsexperts zeiden dat de matchratio aanzienlijk lager zou zijn in reële omstandigheden. Toch roepen de bevindingen verontrustende vragen op over de effectiviteit van vingerafdrukbeveiliging op smartphones.
"Het is bijna zeker niet zo zorgwekkend als gepresenteerd, maar het is vrijwel zeker behoorlijk slecht", zegt Andy Adler, een professor in systemen en computertechniek aan de Carleton University in Canada, die biometrische beveiligingssystemen bestudeert. "Als ik alleen maar je telefoon wil nemen en je Apple Pay wil gebruiken om dingen te kopen, als ik 1 in 10-telefoons kan gebruiken, is dat geen slechte kans."
Volledige menselijke vingerafdrukken zijn moeilijk te vervalsen, maar de vingerscanners op telefoons zijn zo klein dat ze slechts gedeeltelijke vingerafdrukken lezen. Wanneer een gebruiker vingerafdrukbeveiliging instelt op een AppleiPhone of een telefoon met de Android-software van Google, neemt de telefoon meestal acht tot 10-afbeeldingen van een vinger om het gemakkelijker te maken een match te maken. En veel gebruikers nemen meer dan één vinger op - laten we zeggen de duim en wijsvinger van elke hand.
Aangezien een vingerbeweging slechts één opgeslagen afbeelding moet matchen om de telefoon te ontgrendelen, is het systeem kwetsbaar voor valse overeenkomsten.
"Het is alsof je 30-wachtwoorden hebt en de aanvaller er maar één hoeft te matchen", zegt Nasir Memon, professor computerwetenschappen en engineering aan de Tandon School of Engineering van NYU, een van de drie auteurs van de studie, die werd gepubliceerd in IEEE-transacties op forensisch onderzoek en beveiliging. De andere auteurs zijn Aditi Roy, een postdoctorale fellow aan de Tandon School van NYU, en Arun Ross, een professor in computerwetenschappen en engineering aan de Michigan State.
wpDiscuz