Vingerafdruksensor op smartphones en MacBooks vlot te misleiden
Een vingerafdrukscanner op je telefoon of laptop houdt ongewensten buiten. Maar met een beetje moeite en een goedkope 3D-printer valt die beveiliging vlot te omzeilen bij zowel Samsung, Apple als Huawei.
Securitybedrijf Thalos, een dochter van Cisco, zocht uit hoe makkelijk het is om een vingerafdruk te klonen en vervolgens een toestel te ontgrendelen. Het vergeleek vrij recente smartphones, laptops en andere toestellen van premium merken.
Die ontgrendeling lukt niet bij elk toestel, maar maar op toestellen waar het lukte, haalden de onderzoekers een slaagkans van gemiddeld 80 procent.
Thalos ging uit van drie scenario’s:
- Directe verzameling: het slachtoffer is bewusteloos of dronken en de vingerafdruk wordt rechtstreeks afgenomen op een mal (met een stof die de afdruk vasthoudt) om nadien na te maken. (oranje)
- Scan: De vingerafdruk wordt gekopieerd van een andere vingerafdrukscanner, zoals je op de luchthaven of andere toegangsbeveiliging opgeeft. (blauw)
- Derde partij: De vingerafdruk wordt gekopieerd op basis van een afdruk op een glas of een fles. (geel)De eerste twee methodes boeken doorgaans het meeste succes. Maar ook op basis van een afdruk op een glas weten de onderzoekers vlot toestellen te ontgrendelen. Thalos merkt op dat vingerafdrukscanners altijd een marge hebben en in die marge valt de sensor en het algoritme te misleiden.
Bij de iPad (5e generatie) gaat het om 50-60 procent. Bij de iPhone 8 ligt dat tussen de 45 en 90 procent. De Samsung S10 doet het nog slechter (75-90 procent) en bij de Note 9 is dat zelfs 75-100 procent. Concurrent Huawei doet het niet beter. De P30 Lite is zelfs op basis van een glasafdruk in zo’n 70 procent van de gevallen te misleiden. Voor de Honor 7X is is dat zelfs 90-100 procent.
De Samsung A70 was helemaal niet, maar de onderzoekers merken op dat ze ook met een echte vinger zeer zelden het toestel konden ontgrendelen. Hier gaat het vooral dus op een slecht werkende herkenning.
Windows 10 laptops Vs. MacBook
Opmerkelijk: De onderzoekers hebben ook laptops getest en moesten daar vaststellen dat Windows 10 pc’s met Windows Hello (specifiek de HP Pavilion X360 en de Lenovo Yoga) niet te misleiden waren.
De Macbook Pro uit 2018 daarentegen was 90-95 procent van de gevallen te misleiden met de eerste twee methodes, maar ook met een nagemaakte vinger op basis van een glasafdruk lukte ontgrendelen in 60 procent van de gevallen. Ook een slot met vingerafdruk was te openen. Twee opslagmedia met vingerafdrukscanner (Verbatim Fingerprint Secure en Lexar Jumpdrive F35) waren echter niet te misleiden.
Wel mogelijk, niet evident
Wel plaatsen de onderzoekers zelf enkele nuances. Zo gaat het om een zeer gerichte aanvalsmethode. Een dief die je telefoon steelt, of iemand die een verloren toestel oppikt, kan nog niet zomaar in je toestel. Maar voor gerichte doelwitten (politici, CEO’s, mensen die een doelwit kunnen zijn omwille van de informatie op hun telefoon) raadt het bedrijf aan om enkel een lang en complex wachtwoord te gebruiken in plaats van een vingerafdruk. Of tweestapsverificatie (2FA) indien mogelijk.
Met welke materialen de test werd gedaan onthult Thalos niet. maar het gaat volgens het bedrijf om een 3D-printer voor thuisgebruik. Die is volgens hen gedetailleerd genoeg om nuances in vingerafdrukken vast te leggen.
Ook lukte de aanpak niet meteen. Zo moet een nagemaakte vingerafdruk ook dezelfde afmetingen hebben. Een halve millimeter te veel of te weinig en het lukte niet. Dat zorgde er voor dat het soms meer dan vijftig afdrukken moest printen vooraleer de juiste grootte werd gevonden.
Het is overigens niet de eerste keer dat de techniek wordt gedemonstreerd. In 2019 wisten hackers van Tencent al een telefoon te ontgrendelen met behulp van een vingerafdruk op een glas water.
Samengevat valt een vingerafdruk wel degelijk na te maken op basis van een eenvoudige afdruk op een glas. Het vraagt enig oefenwerk, maar eens de afdruk op punt staat, vallen de meeste geteste toestellen vrijwel altijd te ontgrendelen.
Fout opgemerkt of meer nieuws? Meld het hier