Met een voor de iPhone 5S ontwikkelde vingertoppen-dummy heeft Ben Schlabs het slot van de nieuwe Samsung Galaxy S5 al weten te kraken. Hij kon er al meteen geld mee overmaken.
Net als de iPhone 5s kun je ook de Samsung Galaxy S5 met je vingerafdruk ontgrendelen. Hierdoor is het niet langer nodig om ingewikkelde codes te onthouden. Maar net als eerder met Apples iPhone 5s duurde het niet lang voordat hackers het slot met een vingerafdruk-dummy wisten te kraken en in staat waren om ongeautoriseerd toegang tot de smartphone te krijgen. De gevolgen zijn nog dramatischer dan bij de iPhone omdat de S5 een aanzienlijk minder sterk beveiligingsconcept gebruikt.
De vingerafdruk-dummy van de spectaculaire iPhone-hack lag nog in de lade van Schlabs en werkte vrijwel direct. Met zijn bestaande vingerdummy op basis van houtlijm kon Ben Schlabs van SRLabs de S5 eenvoudig ontgrendelen. Bij de S5 werd het hem zelfs nog gemakkelijker gemaakt, omdat Samsung in tegenstelling tot Apple geen limiet zet op het aantal pogingen dat je kunt doen. Weliswaar krijg je ook op de S5 na te veel mislukte pogingen het verzoek om een goed wachtwoord voorgeschoteld, maar een keer uitzetten en weer activeren van het toestel is voldoende om een nieuwe proef met de dummyvinger te kunnen starten.
[youtube url=”http://www.youtube.com/embed/sfhLZZWBn5Q”]
Samsung’s vingerafdruksensor gehackt
Daarnaast vraagt de S5 zelfs na een herstart niet om het wachtwoord, waardoor de veiligheid van je smartphone en alle gegevens erop uitsluitend afhangen van je vingerafdruk. Wie de vingerafdruk weet te imiteren, heeft volledige toegang tot het apparaat en alle gegevens die erop staan. Dit is de iPhone anders.
De vingerafdrukscanner is voor de iPhone slechts een manier om je te behoeden voor het steeds weer opnieuw invoeren van ellenlange wachtwoorden (Apples Touch ID). De code is en blijft het belangrijkste security token dat nodig is om de gegevens te decoderen. Bij de Samsung vervangt de vingerafdruk de toegangscode blijkbaar volledig. Je hebt weliswaar een wachtwoordcode nodig, maar blijkbaar alleen als back-up indien de sensor het niet doet.
Dat lijkt een tamelijk onbelangrijk detail , maar het maakt wel een verschil: Als iemand een uitgeschakelde of vergrendelde iPhone in zijn vingers krijgt, heeft ondanks Touch ID geen kans om bij de speciaal beveiligde gegevens te komen zonder de toegangscode. Bij de S5 dreigt het slachtoffer ook gelijk een financieel risico te lopen als iemand zijn vingerafdruk heeft gekopieerd. Want met de vingerafdruk kan de gebruiker ook betalingen in apps zoals Paypal goedkeuren. Schlabs kon namelijk meteen geld overboeken met zijn dummy. (ju/ple)