Hacker steelt vingerafdruk met gewone camera
Jan Krissler, lid van Europa"s oudste hackercollectief Chaos Computer Club, beweert dat hij een manier bedacht heeft om vingerafdrukken te stelen met een eenvoudige digitale camera.
Krissler demonstreerde dit zaterdag 27 december op de Chaos Computer Conference. De hacker claimt een digitale kopie te hebben van de duimafdruk van de Duitse minister van Defensie Ursula von der Leyen. Daarvoor gebruikte hij de commercieel beschikbare software VeriFinger.
[related_article id=”161920″]
Hoge resolutie foto
Krissler zegt dat hij een bevriende fotograaf heeft gevraagd om hogeresolutiefoto"s te maken van de vingers van von der Leyen tijdens een presentatie in oktober. Daarbij stond de fotograaf nog geen drie meter van de Duitse minister af.
De hacker laat weten dat hij niet heeft kunnen verifiëren of de vingerafdruk accuraat is, maar dat hij denkt dat het een kopie is waarmee gewerkt kan worden. “Ik heb hetzelfde geprobeerd met mijn eigen vinger, onder dezelfde condities met dezelfde camera op dezelfde afstand”, zegt Krissler.
Woordvoerders van von der Leyen weigerden te reageren op de bewering van Krissler.
Biometrische lezers
De presentatie van Krissler heeft mogelijk tot gevolg dat de effectiviteit van vingerafdrukscanners als veiligheidsmaatregel in twijfel wordt getrokken. Hoewel de sensors al sinds de jaren negentig van de vorige eeuw op de consumentenmarkt bestaan, is de interesse in biometrische beveiliging de laatste jaren weer opgeflakkerd.
Dit werd in gang gezet door Apple met de toevoeging van een biometrische lezer – de Touch ID – aan de iPhone 5S. Samsung en HTC konden niet achterblijven en gaven enkele van hun modellen ook een vingerafdrukscanner. Door de lezer hoeft de gebruiker niet langer een pincode in te voeren om zijn toestel te ontgrendelen. Hij kan ook gebruikt worden om een betaling te verifiëren in Apple Pay.
Techniek niet feilloos
Na de lancering van Touch ID door Apple, toonden diverse hackers al aan dat de techniek niet feilloos is. Maar om een vingerafdrukscanner te misleiden, dienden ze tot nu toe fysiek toegang te hebben tot de benodigde vinger.
Het is overigens niet de eerste keer dat Krissler aan de slag gaat met vingerafdrukken. Hij was een van de eersten die liet zien dat je met houtlijm de iPhone 5S voor de gek kon houden. “Wij hopen dat we nu eindelijk de illusies hebben verholpen die veel mensen hebben over vingerafdrukken:, zei woordvoerder Frank Rieger van de Chaos Computer Club destijds. “Het is gewoon idioot om iets dat je niet kunt veranderen en je elke dag overal achterlaat, te gebruiken als veiligheidssleutel.”
Sindsdien hebben onderzoekers al meerdere keren aangetoond dat Apple niets heeft gedaan om deze zwakke plek te dichten. Ook bij de iPhone 6 en iPhone 6 Plus is het mogelijk met gekopieerde vingerafdrukken in te loggen.
Aan de andere kant maakte het stelen of kopiëren van een vingerafdruk niet ook meteen het betreffende apparaat kwetsbaar. De hacker heeft nog steeds fysieke toegang nodig tot de smartphone of tablet om het toestel te ontgrendelen. Bij een iPhone met Touch ID treedt een extra beveilig in werking op het moment dat de telefoon twee dagen niet is gebruikt. Dan is alleen een vingerafdruk niet genoeg, maar moet je een extra code invoeren.
“De kans bestaat dat politici na vandaag handschoenen dragen wanneer ze in het openbaar verschijnen”, besluit Krissler.