2min

Tijdens de Black Hat Conferentie in Las Vegas is duidelijk geworden dat de Android-fabrikanten nog wel wat beveiligingswerkzaamheden moeten uitvoeren aan de vingerafdrukscanners. De beveiliging van de vingerafdrukscanners in de toestellen van HTC, Huawei en Samsung laat nog veel te wensen over.

Beveiligingsonderzoekers Tao Wei en Ylong Zhang presenteerden verschillende Android-hacks, maar één sprong er toch wel tussenuit, de mogelijkheid om een vingerafdruk van een gebruiker te stelen. Volgens de onderzoekers is de vingerafdrukscanner niet extra beveiligd en gebruiken de meeste Android-fabrikanten de standaard Android-beveiliging, hierdoor is het mogelijk voor kwaadwillende om de invoer van de vingerafdrukscanner uit te lezen en een vingerafdruk buit te maken.

Op dit moment zijn digitale vingerafdrukken nog niet heel belangrijk, maar in de toekomst zullen veel meer diensten hier gebruik van gaan maken voor authenticatie. Zo zijn de eerste betaaldiensten al actief die vertrouwen op een vingerafdruksensor. Verwacht wordt dat over enkele jaren de meerderheid van alle smartphones voorzien is van een dergelijke scanner.

Om de hack te demonstreren werd er gebruik gemaakt van de HTC One Max en de Samsung Galaxy S5. Of het bij nieuwere modellen ook mogelijk is, zoals de Galaxy S6 is niet duidelijk. Wellicht dat Google dit veiligheidsprobleem binnenkort gaat oplossen, naar verluidt zal in Android M universele ondersteuning worden toegevoegd voor vingerafdrukscanner zodat de fabrikanten niet zelf een implementatie hoeven toe te voegen. Daarbij zal beveiliging ongetwijfeld een rol spelen en anders heeft deze hack ongetwijfeld Google’s interesse en aandacht gewekt.

De onderzoekers wisten ook te meldden dat Apple al een stuk verder is qua beveiliging en die vingerafdrukken moeilijk zijn te onderscheppen, mede doordat Apple encryptie toepast.