Irisscanner Samsung is te misleiden

Beveiliging

Opnieuw slagen hackers erin de beveiliging van de Samsung Galaxy S8 te breken. De irisscanner blijkt eenvoudig te foppen.

Samsung Galaxy S8. Foto Reuters

Een goede foto, een printer en een contactlens: dat is alles wat nodig blijkt om toegang te krijgen tot andermans bestanden op de Samsung Galaxy S8.

Samsung noemt de irisscanner – een novum voor smartphones – „een van de veiligste methodes om je telefoon ontoegankelijk te maken. De patronen in je irissen zijn uniek en haast niet te vervalsen.” Dat laatste klopt niet, toonde het Duitse hackerscollectief CCC deze week aan. Onderzoeker Jan Krissler maakt een (infrarood-)foto, print de afbeelding op gewoon papier en legt er een contactlens op. Daardoor denkt de irisscanner een echt oog te zien en opent de telefoon.

De biometrische beveiliging van de Galaxy S8 werd al eerder verslagen. De gezichtsscanner van de telefoon laat zich misleiden met een foto van je gezicht. Ook vingerafdrukken zijn geen waterdichte beveiliging, zoals in 2013 al bleek bij de Apple iPhone.

Raymond Veldhuis, hoogleraar biometrische patroonherkenning aan de Universiteit Twente, is niet verbaasd. „Er zit geen goede presentation attack detection in Samsungs systeem. Met andere woorden: de telefoon controleert niet goed of er een echte persoon gescand wordt.” Zo’n controle kan wel ingebouwd worden, zegt hij, bijvoorbeeld door fluctuaties in de pupil te meten. „Dat is dan weer te omzeilen door een afbeelding heen en weer te bewegen of een videootje te maken.”

Een irisscanner is in principe veiliger dan een gezichtsscanner, omdat het meer moeite kost een gedetailleerd beeld van een pupil te bemachtigen. Het meest robuust lijkt herkenning van aderen in je handpalm of in je vingers met behulp van een infraroodcamera. Veldhuis: „Dat zijn biometrische gegevens die onder je huid zitten. Die kun je niet zomaar fotograferen of van het web plukken.”