FireEye-onderzoekers Tao Wei en Yulong Zhang gedemonstreerd op de Black Hat-conferentie hoe hackers op afstand vingerafdrukken kunnen stelen zonder dat de eigenaar van het apparaat er ooit iets van weet. Nog gevaarlijker: dit kan op ‘grote schaal’ worden gedaan.
Aanbevolen video's
Bijgewerkt op 08-11-2015 door Robert Nazarian: Toegevoegd in opmerkingen van HTC, Samsung en Yulong Zhang.
We hebben contact opgenomen met zowel HTC als Samsung om te bevestigen dat er patches zijn uitgegeven voor zowel de HTC One Max als de Galaxy S5. We hebben Samsung ook gevraagd of de Melkweg S6, Galaxy S6 Rand, of andere apparaten hebben dezelfde kwetsbaarheid.
"We hebben het probleem al aangepakt voor de HTC One Max en het heeft geen invloed op andere HTC-apparaten."
Op basis van de volgende opmerking van HTC hebben we er vertrouwen in dat alle carrierversies van de One Max zijn gepatcht:
“HTC is op de hoogte van het FireEye-rapport over de beveiliging van vingerafdrukscanners. We hebben het probleem voor de HTC One Max al in alle regio's aangepakt en het heeft geen invloed op andere HTC-apparaten. Zoals altijd neemt HTC beveiligingsproblemen zeer serieus en maakt er een topprioriteit van.”
In de opmerking van Samsung wordt niet gesproken over een patchupdate, maar wordt wel aangegeven dat alle Galaxy S5-telefoons veilig zijn:
“Samsung neemt de beveiliging van vingerafdrukken zeer serieus en we zijn op de hoogte van het rapport van FireEye over een kwetsbaarheid met de vingerafdruksensor. Na een grondig onderzoek met FireEye is gebleken dat de gegevens van alle Galaxy S5-gebruikers veilig blijven.”
Helaas heeft Samsung de status van de Galaxy S6, Galaxy S6 Edge of andere telefoons met vingerafdruksensoren niet vermeld. We hebben opnieuw contact opgenomen met het bedrijf en we zullen dit bericht bijwerken als we iets horen.
“Na een grondig onderzoek met FireEye is gebleken dat de gegevens van alle Galaxy S5-gebruikers veilig blijven.”
We hebben ook contact opgenomen met Yulong Zhang en hem gevraagd naar de Galaxy S6, Galaxy S6 Edge of andere telefoons die mogelijk kwetsbaar zijn voor de vingerafdruksensorbeveiligingsaanval. Helaas kon hij geen inzicht geven in de vraag of het gevolgen heeft voor andere apparaten.
Zhang herhaalde dat de iPhone niet kwetsbaar is, omdat de vingerafdrukgegevens gecodeerd zijn. Appel kocht AuthenTec in 2012, dat de vingerafdruksensoren voor de iPhone levert. Het eigendom van Apple in het bedrijf maakt het gemakkelijker om de beveiliging te controleren, terwijl Samsung en andere Android fabrikanten zijn overgeleverd aan hardwarebedrijven van derden.
De oplossing van HTC en Samsung houdt in dat de vingerafdruksensoren worden vergrendeld, maar de gegevens blijven onversleuteld vanwege hardwarebeperkingen. Android-fabrikanten zullen in de toekomst waarschijnlijk hardware kunnen beveiligen waarmee ze vingerafdrukgegevens kunnen coderen.
Met al deze negativiteit rond vingerafdruksensoren is Zhang nog steeds van mening dat het gebruik ervan de beste manier is om telefoons en tablets te beveiligen. Vingerafdrukken kunnen niet worden geraden, maar wachtwoorden wel, vooral voor degenen die eenvoudige pincodes zoals 1234 gebruiken.
Wat is de spionageaanval met de vingerafdruksensor?
De "Fingerprint Sensor Spying Attack" werkt met Samsung-, HTC- en Huawei-telefoons. Volgens Wei en Zhang slagen sommige fabrikanten er niet in de vingerafdruksensor te vergrendelen. Blijkbaar worden sommige alleen bewaakt door privileges op systeemniveau in plaats van door root, wat het gemakkelijker maakt om te hacken. De meeste beveiligingsgerelateerde software vereist root-toegang, waardoor het voor hackers ingewikkelder wordt om te dwarsbomen.
Er werd niet uitgelegd hoe de hacker daadwerkelijk toegang krijgt tot de vingerafdruksensor zelf, maar de aanvaller kan de vingerafdrukken blijven lezen gedurende de levensduur van de telefoon zodra de aanval heeft plaatsgevonden.
Ook werd aangetoond dat via een andere aanval, ‘Confused Authorization Attack’, een hacker hiervoor kon zorgen een nep-vergrendelscherm dat daadwerkelijk een geldoverdracht op de achtergrond mogelijk zou maken zodra er een vingerafdruk is geaccepteerd. Het rapport gaf echter niet aan of huidige telefoons daadwerkelijk kwetsbaar zijn voor dit soort aanvallen.
Het verkrijgen van een vingerafdruk kan zeer ernstig zijn, omdat deze niet alleen wordt gebruikt om het apparaat te ontgrendelen, maar ook wordt gebruikt om mobiele betalingen en banktransacties uit te voeren. Vingerafdrukken zijn eveneens aan u persoonlijk gebonden en kunnen uiteraard niet worden aangepast of veranderd.
Het is niet duidelijk in welke paniek je hierover moet zijn. Wei en Zhang demonstreerden de Fingerprint Sensor Spying Attack op de oudere Samsung Galaxy S5 en HTC One Max, maar vermeldden niet of de nieuwere Galaxy S6 of Galaxy S6 Edge dezelfde kwetsbaarheid heeft. Verder geeft het rapport aan dat zowel Samsung als HTC patches hebben uitgebracht nadat ze op de hoogte waren gesteld van de kwetsbaarheid.
Als u nu een iPhone-gebruiker bent, zult u blij zijn te weten dat Apple de vingerafdrukgegevens van de scanner beter versleutelt. Het goede nieuws is dat Google ondersteuning voor vingerafdrukbeveiliging implementeert Android M, dus in de toekomst is het waarschijnlijk veiliger op alle Android-telefoons. Daarover gesproken: Wei en Zhang raden consumenten aan altijd de nieuwste telefoons met de nieuwste software te kopen voor een betere bescherming.
Aanbevelingen van de redactie
- Er is een groot probleem met de nieuwe Android-tablets van Samsung
- Door deze grote Apple-bug kunnen hackers uw foto's stelen en uw apparaat wissen
- Deze meer dan 80 apps kunnen adware uitvoeren op uw iPhone of Android-apparaat
- Android steelt een van de beste iPhone-functies voor draadloze hoofdtelefoons
- Samsung heeft je telefoon gered van een vervelend beveiligingsprobleem
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
