Hackers kunnen biometrische data van Android smartphones stelen

Hackers kunnen biometrische data van Android smartphones stelen

Vorig artikel Volgend artikel

Het is onderzoekers van veiligheidsbureau FireEye gelukt om bij onder andere de Samsung Galaxy S5 data te onderscheppen van de ingebouwde vingerafdrukscanner. Hiermee kunnen hackers potentieel inbreken op een smartphone en biometrische authenticaties zoals vingerafdrukken bemachtigen.

Hoewel je ze nog niet vaak tegenkomt is de opmars van vingerafdrukscanners in smartphones al een tijdje aan de gang. De iPhone 5S en de Samsung Galaxy S5 die respectievelijk in 2013 en 2014 op de markt verschenen hebben bijvoorbeeld allebei een ingebouwde vingerscanner waarmee je als gebruiker je smartphone kunt vergrendelen en ontgrendelen zonder gebruik te maken van wachtwoorden of pincodes.

Een vingerafdruk is namelijk uniek voor elk persoon en daarom een van de meest persoonlijke en relatief veilige manieren om vertrouwde informatie te beschermen, mits de technologie goed wordt toegepast.

Normaal wordt biometrische data op Android smartphones zoals vingerafdrukken en gezichtsherkenning eerst versleuteld en daarna op een beveiligde locatie opgeslagen die niet via de kernel (kern van het besturingssysteem) te bereiken is.

fingerprint

De onderzoekers van FireEye is het echter gelukt om de ruwe data van de vingerafdruksensor uit te lezen en deze te onderschepen nog voordat het wordt versleuteld en opgeslagen. Door het bemachtigen van de vingerafdruk data van de gebruiker van het toestel wordt het mogelijk om op andere applicaties in te loggen zonder dat er wachtwoorden nodig zijn.

Gezien het feit dat steeds meer mensen en applicaties (zoals PayPal) gebruik maken van beveiliging via vingerafdrukken is de lek die de onderzoekers hebben gevonden een serieus probleem. Volgens Samsung staat de privacy en veiligheid van haar gebruikers voorop en hebben de Koreanen laten weten bezig te zijn met een eigen onderzoek naar het beveiligingslek.

Geen paniek voor Samsung gebruikers

Hoewel het inbreken en stelen van ruwe sensordata mogelijk is via de methode van de onderzoekers hoeven huidige gebruikers van de Samsung Galaxy S5 zich niet direct zorgen te maken. De methode om vingerafdrukken uit te lezen werkt alleen met oude versies van Android (KitKat 4.4 en eerder) en is compleet verholpen in Android Lollipop (5.0 en hoger). Gebruikers van de nieuwe Galaxy S6 hoeven niets te doen, deze is standaard bepakt met Android 5.0.

Gebruikers van de Galaxy S5 of andere Android smartphones met vingerafdrukscanners (HTC One Max, Huawei Ascend Mate 7 etc) wordt het dan ook aangeraden om zo snel mogelijk een update uit te voeren naar de nieuwste Android versie (5.0 of hoger), als dit nog niet automatisch is gebeurd.

Vooralsnog is het niet bekend of een soortgelijke hack ook uit te voeren is op iPhone’s met een vingerafdrukscanner. Dat betekent echter niet dat Apple’s TouchID niet geheel vlekkeloos werkt. Het kostte hackers ten tijde van de iPhone 5S release maar twee dagen om met een paar simpele huishoudmiddelen de vingerscanner te omzeilen.

‘Biometrische authenticatie gaat nog wel even duren’

We weten allemaal dat persoonlijke gegevens beveiligen met een wachtwoord niet altijd even goed werkt. Authenticatie via biometrische data (vingerafdrukken, iris scans en gezichtsherkenning) is in theorie een stuk veiliger en effectiever, maar in de praktijk zijn we er nog lang niet, aldus Andy Kemshall, co-founder en technical director van SecurEnvoy.

Volgens Kemshall zal het nog wel een jaartje of tien kunnen duren voordat de massa deze nieuwe manieren van biometrische authenticatie helemaal zal omarmen. De technologie is simpelweg nog niet op het niveau waarop grote bedrijven als Samsung de consument kunnen overtuigen dat deze nieuwe vorm van authenticatie hun persoonlijke data beter kan beschermen.

Jeroen de Hooge

Jeroen is werkzaam als Managing Director bij The Blog Idea Factory BV, uitgever van ondermeer Dutchcowboys, Travelvalley & Carrepublic. Behalve liefhebber...

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies