Security Research Labs heeft de vingerafdrukscanner omzeild, op vergelijkbare wijze waarop ze ook deze in de Apple iPhone 5s hebben verschalkt, maar gevaarlijker inzake gevolgen.
Vingerafdrukscanners worden al jaren aangeprezen als bijkomende toegangsbeveiliging-faciliteit, en zelfs als vervanger van paswoorden, zoals op de Samsung 5s. Helaas worden deze scanners vaak al jarenlang met soms erg simpele middelen omzeild.
Zo werd ook de vingerafdrukscanner in Samsung’s nieuwe topmodel, de Galaxy S5, omzeild, zoals blijkt uit een filmpje dat het Security Research Labs in YouTube heeft geplaatst. Daarvoor volstond het een imitatievinger te maken, op basis van een foto van een vingerafdruk (van de gebruiker van de smartphone). De Duitse securityexpert is daarmee niet aan een proefstuk toe, want op hun site leggen ze keurig en uitgebreid uit onder meer ook een Apple iPhone 5s, een Thinkpad en een Fujitsu smartphone verschalken. Daarbij wordt overigens gebruik gemaakt van methoden die al jarenlang bekend zijn (met voorbeelden die al dateren van 2005). Zelfs methoden om het misbruik van imitatievingers te voorkomen, kunnen vaak worden omzeild, hoewel ook hierover al lang studies worden gepubliceerd. Uiteindelijk blijft het een afweging van de kostprijs van een voldoende veilig systeem, versus de prijsdruk van het uiteindelijke toestel, en de tweede factor weegt nog steviger door, zoveel is duidelijk.
Authenticatie hulp
De hack van de Samsung vingerafdrukscanner wordt wel als ernstiger ingeschat dan de iPhone 5s hack. Op dit laatste toestel wordt immers ook nog een paswoord gevraagd, vooraleer de vingerafdruk als een (bijkomende) vorm van authenticatie wordt aangewend. Dat is niet het geval voor de Samsung, waar de vingerafdrukscan op zichzelf volstaat om toegang tot het toestel te verkrijgen.
Bovendien maakt de Samsung 5s ook gebruik van de vingerafdrukscanner als authenticatiesysteem voor het uitvoeren van betalingen, zoals voor Paypal. Ook daarvan werd het misbruik met een imitatie-afdruk aangetoond, met alle gevaren van dien. PayPal reageerde met de mededeling dat “we de bevindingen van Security Research Lab heel ernstig opnemen, maar we zijn nog steeds overtuigd dat vingerafdruk authenticatie een makkelijker en veiliger wijze van betaling met mobiele toestellen biedt, dan paswoorden of kredietkaarten.” De rest van de boodschap verwijst voorts enkel naar voorzieningen ‘post factum’, zoals de voorziene ‘purchase protection policy’.
Security Research Labs zelf ziet zeer zeker een rol weggelegd voor vingerafdrukken, maar als een tweede (of derde) authenticatiefactor bij onder meer betalingen. Maar dus evengoed niet als enige authenticatiesysteem, zoals blijkbaar door diensten als PayPal wordt voorgesteld.
