Security-onderzoekers hebben een manier gevonden om authenticatie te omzeilen die aders in een hand detecteert. Ze toonden hun werk op het Chaos Communication Congress.
Aderdetectie is vrij nieuw, maar er is al een bypass voor. Net als andere biometrische manieren van authenticatie, zoals vingerafdruksensoren of gezichtsherkenning, moet aderdetectie ofte ‘vein authentication’ mensen kunnen identificeren aan de hand van een unieke eigenschap. In dit geval is dat de vorm, grootte en positie van aders onder de huid van een hand. Het systeem wordt gezien als uiterst veilig en zou onder meer worden ingezet in het hoofkwartier van de BND, een van de geheime diensten van Duitsland. Het idee is dat het moeilijker is om de plaatsing van iemands aders te weten te komen, dan om bijvoorbeeld vingerafdrukken van een scherpe foto te halen.
Maar dat blijkt een fout idee. Onderzoekers Jan Krissler en Julian Albrecht vonden een bypass en toonden die op het Chaos Communication Congress, een hackingconferentie in Leipzig. Daar legden ze uit hoe ze een valse hand uit was maakten, die een adersensor kan misleiden. Ze deden dat, ten eerste, door foto’s te nemen van hun eigen aders, met een aangepaste SLR camera waaruit de infraroodfilter werd verwijderd. Zo konden ze de aders onder de huid vinden.
Met die informatie maakten ze een wassen model van hun hand, waarin het aderpatroon werd verwerkt. De onderzoekers hebben hun bevindingen eerst getoond aan Fujitsu en Hitachi, makers van aderdetectoren. Het zou ongeveer een maand hebben geduurd om de hack werkbaar te krijgen.
Fout opgemerkt of meer nieuws? Meld het hier