'Vingervegen ondermijnen beveiliging'

Vorig artikel Volgend artikel

Het lijkt misschien triviaal, maar onderzoekers van de Universiteit van Pennsylvania hebben onlangs een paper gepubliceerd, waarin zij uitleggen hoe vette vingervegen, op een touchscreen, de patroonbeveiliging van Android-telefoons kunnen ondermijnen.

De patroonbeveiliging van Android wordt gebruikt om het toestel te ontgrendelen en

bestaat uit een 3x3-raster van punten. Een gebruiker kan een patroon maken door minstens vier punten met elkaar te verbinden, waarbij ieder punt maar één keer gebruikt kan worden. Er zijn zo in totaal 389 112 mogelijke combinaties.

De wetenschappers maakten foto's van de schermen onder verschillende hoeken en lichtcondities. Daarna bewerkten ze deze beelden met een relatief eenvoudig fotobewerkingsprogramma. In veel situaties waren (delen van de) patronen duidelijk te herkennen. Onder optimale condities was het aantal volledige identificaties zelfs ongeveer 70 procent.

patern1

Het makkelijkst te herkennen waren patronen die waren aangebracht nadat het toestel was gebruikt of tegen een wang was gehouden. Maar ook als een scherm was afgeveegd of het toestel in een broekzak had gezeten, was nog bruikbare informatie te vinden die tot een positieve match konden leiden.

Onvolledige patronen ook nuttig

smudge_part2

De onderzoekers stellen dat door een beetje logisch nadenken ook onvolledige patronen kunnen leiden tot een match. Gebruikers zouden bijvoorbeeld bepaalde combinaties mijden en waarschijnlijk niet alle punten van het raster gebruiken. De onderzoekers noemen dit de "Human Factors". Hierdoor kan een selectie gemaakt worden van mogelijke patronen. Android vergrendelt het toestsel pas nadat twintigmaal een onjuist patroon is getekend, dus er kunnen verschillende patronen worden geprobeerd.

De onderzoekers willen in een vervolgonderzoek onder andere dieper ingaan op de analyse van de vingervegen en bovendien de "Human Factors" nader bekijken.

'Oplossing'

Een mogelijke oplossing wordt ook geboden, want het is het mogelijk om het toestel te ontgrendelen door middel van een pincode en hiervan kunnen de vingervegen moeilijker ontrafeld worden.

De volledige paper (PDF) van 10 pagina's is te downloaden op de website van USENIX.

Casper de Zoete

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies