Hackers foppen Samsung opnieuw: Galaxy S8 kan worden ontgrendeld met geprinte iris

Na de gezichtsherkenning van de Galaxy S8 blijken hackers nu ook de irisscanner te kunnen foppen via een printje. Beide ontgrendelingsmethodes zijn doorgevoerd op het nieuwste toestel van Samsung.

Beeld CCC

De onlangs geïntroduceerde Galaxy S8 ondersteunt diverse ontgrendelingstechnieken. Naast de traditionele pincode of het tekenen van een patroon, kan de eigenaar ook toegang krijgen tot alle functies via biometrische methodes: vingerafdruk, gezichtsherkenning en irisscan. Eerder werd al bekend dat het toestel ontgrendeld kon worden via een printje van een gezicht. Samsung was hier niet van onder de indruk en gaf als reactie dat deze methode ook minder veilig is dan bijvoorbeeld de irisscan.

De fabrikant is zowel bij de instellingen van het toestel als op zijn site duidelijk over het verschil in veiligheid. Gezichtsherkenning wordt gepromoot als een snelle manier voor directe ontgrendeling, waar de irisscan zou zorgen voor 'waterdichte beveiliging'. Nu blijkt echter dat deze irisscan toch niet zo waterdicht is. Duitse onderzoekers van de Chaos Computer Club (CCC) laten in een video zien hoe eenvoudig de poortwachter voor de gek is te houden.

'Simpel'

De eerste stap is een kiekje van de eigenaar op een paar meter afstand met een camera in de nachtmodus. De sensor van het toestel werkt namelijk met infraroodlicht, omdat in dit spectrum meer details van de iris zichtbaar zijn. Stap 2: de opname bewerken zodat alle details goed zichtbaar zijn. Daarna is het een kwestie van de foto in hoge kwaliteit te printen. Als laatste stap leggen de hackers een contactlens over het geprinte oog. Dit volstaat om het toestel voor de gek te houden. 'Simpel', zeggen ze zelf: de aanschaf van een Galaxy S8 was nog het duurste onderdeel van de hele test.

'Als je je gegevens op je telefoon waardevol vindt - of je toestel zelfs gebruikt voor betalingen - dan is de traditionele pincode veiliger dan biometrische methodes', zo stelt een woordvoerder van de CCC. Biometrische beveiliging staat volgens de hackersclub op het punt van doorbreken, maar kan zijn veiligheidsbeloftes niet waarmaken.

Nepduim en iPhone

De CCC voert al langer actie tegen biometrie. Eerder wist de club ook al de vingerafdruksensor van Apple's iPhone voor de gek te houden via een nepduim. Maar het risico met de irisscan is volgens de CCC nog groter omdat we onze irissen nogal vaak laten zien. Niet alleen 'in het wild', maar ook op foto's in hoge resolutie op internet. Volgens de laatste geruchten krijgt ook de volgende iPhone een irisscanner.

Samsung zegt in een formele reactie op de hoogte te zijn van het probleem, maar nog geen aanleiding te zien om zijn beveiliging aan te passen: 'We willen onze klanten ervan verzekeren dat de irisscantechnologie in de Galaxy S8 is ontwikkeld na uitgebreide testen. Daarmee voorkomen wij pogingen om de beveiliging te doorbreken, via bijvoorbeeld foto's van iemands iris. De beweringen van de verslaggever kunnen alleen worden gedaan onder een zeldzame combinatie van omstandigheden. Het zou de onwaarschijnlijke situatie vereisen dat iemand tegelijkertijd in het bezit is van zowel een IR-foto van de iris van de eigenaar van de smartphone, een contactlens én de smartphone. We hebben onder precies dezelfde omstandigheden interne demonstraties uitgevoerd en het was uiterst moeilijk om een dergelijk resultaat te herhalen.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden