Irisscanner Samsung Galaxy S8 makkelijk te misleiden

Opnieuw slagen hackers erin de beveiliging van de Samsung Galaxy S8 te breken. De irisscanner, een van de pronkstukken van de telefoon, blijkt eenvoudig te foppen.

Een goede foto, een printer en een contactlens: dat is alles dat wildvreemden nodig blijken te hebben om toegang te krijgen tot persoonlijke bestanden op de Samsung Galaxy S8.

Samsung noemt de irisscanner – een novum voor smartphones - “een van de veiligste methodes om je telefoon ontoegankelijk te maken en de inhoud voor jezelf te houden. De patronen in je irissen zijn uniek en haast niet te vervalsen.”

Dat laatste klopt niet, toonde het Duitse hackerscollectief CCC deze week aan. Onderzoeker Jan Krissler maakt een (infrarood-)foto, print de afbeelding op gewoon papier en legt er een contactlens op. Daardoor denkt de irisscanner een echt oog te zien en opent de telefoon. In 2014 slaagde Krissler er in de vingerafdrukscanner van de iPhone (Touch ID) te misleiden met een foto van een hand die hij online gevonden had. In 2013 werd de vingerafdrukscanner van de iPhone 5S al meteen om de tuin geleid.

De biometrische beveiliging van de Galaxy S8, adviesprijs 799 euro, werd al eerder verslagen. De Samsung-telefoon heeft namelijk ook een gezichtsscanner, die zich laat misleiden met een afbeelding van je gezicht. Gezichtsherkenning is zo’n zwakke beveiliging dat Google de functie om die reden uit Android heeft gehaald.

Kijken of je nog leeft

Raymond Veldhuis, hoogleraar biometrische patroonherkenning aan de Universiteit Twente, verbaast zich er niet over dat de gezichtsscanner zo makkelijk te foppen is. “Er zit geen goede presentation attack detection in Samsungs systeem. Met andere woorden: de telefoon controleert niet goed of er een echte persoon gescand wordt.”Zo’n controle kan wel ingebouwd worden, zegt Veldhuis, bijvoorbeeld door fluctuaties in de pupil te meten. “Dat is dan weer te omzeilen door een afbeelding heen en weer te bewegen of een videootje te maken.”

Een irisscanner is in principe veiliger dan een gezichtsscanner, omdat de hacker meer moeite moet doen om een gedetailleerd beeld van een pupil te bemachtigen. Een alternatief is een gezichtsscanner met een 3D-camera (stereografisch), die ook diepte meet en dus niet met een print te foppen is. 3D-techniek zit in sommige laptops, maar nog niet in telefoons.

Aderherkenning

Echt goede biometrische beveiliging, zegt Veldhuis, is niet eenvoudig. “Je moet een balans vinden tussen een false rejects (vergeefse pogingen om in te loggen van een legitieme gebruiker) en false accepts (onterechte identificatie door derden).

Het meest robuust lijkt herkenning van aderen in je handpalm of in je vingers, met behulp van een infraroodcamera. “Dat zijn biometrische gegevens die onder je huid verstopt zitten. Die kun je niet zomaar fotograferen of van het web plukken.” De sensor voor ader-patroonherkenning is nog niet zo eenvoudig in een telefoon te stoppen.

Volgens Veldhuis bewijst de hack van CCC niet dat Galaxy S8, waarvan er in 25 dagen tijd 5 miljoen verkocht zijn, een waardeloze beveiliging heeft. “Het biedt een vorm van zekerheid en combineert dat met gebruiksgemak. Een pincode is veiliger, maar die kunnen ze ook over je schouder meekijken.”