Biologische (smartphone)ontgrendeling legt de duimen tegen alternatieven
Vingerafdrukken, retinascans,… onze smartphones beschikken over een serieus arsenaal aan biologische ontgrendelingsmogelijkheden. Enkele recente hacks doen evenwel vermoeden dat ze toch niet zo veilig zijn als we dachten.
Toen de vingerafdrukscanner zijn intrede maakte op de smartphone werd gewag gemaakt van de ‘veiligste manier om je toestel te beschermen’. Apple introduceerde even later ontgrendeling op basis van een retinascan. Hoewel vaak wordt gezegd dat dit de beste manieren zijn om je persoonlijke gegevens privé te houden, moesten deze veilige opties niettemin regelmatig de duimen leggen tegen een simpele, ouderwetse cijfercode.
Unieke toegang
De redenering achter deze ‘veilige alternatieven’ spreekt voor zich: je vingerafdruk is uniek – deze verschilt van mens tot mens. Voor je retina hetzelfde: jouw ogen, hoe mooi ze ongetwijfeld ook zijn, zijn perfect uniek. Naarmate de technologische implementatie in onze smartphones volwassener wordt, wordt eveneens telkens beweerd dat ze ‘nu nog moeilijker te bedotten’ zijn.
Helaas blijkt dan telkens weer de relativiteit van dergelijke claims. Op The Verge verscheen afgelopen weekend een artikel waarin wordt getoond hoe je de ultrasonische vingerafdrukscanner (onder het scherm) van de nieuwe Samsung Galaxy S10 kan om de tuin leiden. Het gaat hier om een scanner onder het scherm, en die technologie is nog net iets anders dan eentje op de achterkant (wat dat verschil juist is, vind je hier.)
Veilig of verrassing
Alle veiligheidspraatjes ten spijt zie je in het artikel van The Verge iemand die een foto maakt van zijn vingerafdruk op een wijnglas. Daarvan maakt hij met Photoshop een afdrukbaar 3D-model, dat hij dan vervolgens uitprint met een 3D-printer. Het kost hem drie pogingen, maar binnen het uur slaagt hij erin om zijn Samsung te ontgrendelen met een printje.
Het is zeker niet de eerste keer dat dergelijk verhaal de kop opsteekt. Ik herinner me nog levendig een verhaal uit 2016 waarbij een ethische hacker erin was geslaagd om in te breken in een smartphone van een politicus, opnieuw door een foto te maken van een vingerafdruk. Het enige verschil: deze foto werd gemaakt van een archiefbeeld van die politicus op tv. Het kostte opnieuw geen uur voor die vingerafdruk was vervaardigd in een soort was, die uitstekend dienst deed.
Waanzinnige identiteitskaart
Het doet een mens toch eens nadenken. Met de nakende invoering van vingerafdrukken op onze identiteitskaart zit er nog wel een verrassing aan te komen. Uiteraard zullen onze afdrukken niet open en bloot te zien zijn, maar ze houden wel in dat iédereen zijn afdrukken moet laten nemen – die vervolgens in één grote database terecht zullen komen.
Zoals we ondertussen al wel gewoon zijn van onze vaderlandse IT-specialisten zal het vervolgens niet lang duren voor er een groot datalek te betreuren valt, waarbij duizenden vingerafdrukken worden ontvreemd. Aangezien meer en meer mensen hun bankzaken regelen op een smartphone, met behulp van een vingerafdrukscanner om een grote betaling te bevestigen kan de financiële schade hoog oplopen.
Zijn we nog ergens veilig?
Het is een ongemakkelijke waarheid: als we ons eigen lichaam niet kunnen vertrouwen – en het social engineers vaak weinig moeite kost om iemands hoofd binnen te dringen om er wachtwoorden te stelen – wat blijft er dan nog over? Het antwoord is zoals steeds gezond verstand. Zet een limiet op je bankrekening, zet geen compromitterend materiaal op het internet (of je smartphone)… Bereid je zo goed mogelijk voor op alle mogelijke aanvallen en voor de gevoeligste zaken gebruik je nog steeds best een wachtwoord dat moeilijk te raden is, bij voorkeur in de vorm van een wachtwoordzin.
Het is allemaal zo erg (nog) niet, tot iemand geld verliest.
