Onderzoekers van beveiligingsbedrijf FireEye zijn er in geslaagd om vingerafdrukken te stelen van Androidtelefoons. De vingerafdrukken kunnen worden gebruikt om smartphones te ontgrendelen. Volgens de onderzoekers kunnen met de methode op grote schaal vingerafdrukken worden verzameld.
De resultaten van het onderzoek zijn woensdag gepresenteerd op de Amerikaanse Black Hat conferentie.
Het aantal Androidtelefoons met een vingerafdrukscanner is nog niet erg populair, maar de verwachting is dat er snel meer telefoons op de markt zullen komen met een dergelijke toepassing. De vingerafdruk wordt gezien als goed alternatief voor de pincode, die dieven kunnen achterhalen door over iemands schouder mee te kijken.
Vingerafdruk niet versleuteld
De onderzoekers wisten de vingerafdrukken van een HTC One Max en de Samsung Galaxy S5 te achterhalen. Een van de problemen is dat de scan van de vingerafdruk niet direct wordt versleuteld. Ze kregen het voor elkaar om de scanner stiekem te laten draaien, waardoor een afdruk van elke vinger die daarna op de scanner terecht komt kan worden opgeslagen.
‘Met deze kraak vallen vingerafdrukken van het slachtoffer direct in de handen van de hacker’, aldus een van de onderzoekers tegen ZDNet. ‘De hacker kan voor de rest van het leven van het slachtoffer de vingerafdruk blijven gebruiken.’
iPhone ‘redelijk veilig’
Het probleem ligt voornamelijk niet alleen bij de onderzochte telefoons, benadrukt de onderzoeker. Ook laptops met een vingerscanner kunnen worden gekraakt. De scanner van de iPhone is ‘redelijk veilig’, omdat het de vingerafdruk direct versleuteld. ‘Zelfs als een hacker de scanner zou kunnen bedienen, kan hij niet bij de vingerafdruk.’
De onderzoekers raden aan regelmatig updates te installeren, maar alleen van bronnen die de gebruiker kent.
Eerder wisten onderzoekers de scanner van de iPhone al te foppen met een nep-vingerafdruk, die was gemaakt op basis van een foto.