De ultrasone vingerafdrukscanner van Samsung kan worden omzeild met zoiets simpels als een schermbeschermer van £ 2,70, heeft een Brits echtpaar ontdekt.
Update 4 (24-10-2019 om 10:50 uur ET): Zoals beloofd introduceert Samsung de oplossing voor het probleem met het omzeilen van vingerafdrukken op de Galaxy S10 en Galaxy Note 10.
Update 3 (23-10-2019 om 10:33 uur ET): Samsung heeft een software-update uitgebracht die het probleem beweert op te lossen. Scroll naar beneden voor meer informatie.
Update 2 (23-10-2019 om 03:10 uur ET): Bankapps verwijderen tijdelijk de ondersteuning voor vingerafdrukscanners voor de Samsung Galaxy S10 en de Galaxy Note 10-serie in het licht van dit probleem.
Update (18-10-2019 @ 10:00 ET): Samsung heeft een verklaring afgegeven over de fout in de vingerafdrukscanner van de Galaxy S10. Scroll naar beneden voor meer informatie. Het artikel zoals gepubliceerd op 17 oktober 2019 is bewaard gebleven zoals hieronder.
In maart, toen Samsung lanceerde de Galaxy S10, omschrijven ze de vingerafdrukscanner als ‘revolutionair’. De in-screen scanner maakt gebruik van echografie om de randen van de vingers van gebruikers te detecteren en deze te matchen met opgeslagen gegevens. Eerdere versies van in-screen vingerafdrukscanners maakten vaak gebruik van optische scanners, die licht onder het scherm projecteerden en op die manier je vingerafdruk lazen. Maar het enige revolutionaire aan de ultrasone sensor blijkt te zijn hoe gemakkelijk deze te omzeilen is.
Een Brits echtpaar ontdekte onlangs het probleem nadat een vrouw haar Galaxy S10 had voorzien van een gel-schermbeschermer die ze op eBay voor £ 2,70 had gevonden. Nadat ze haar vingerafdruk had geregistreerd terwijl de nieuwe beschermer was aangebracht, ontdekte ze dat haar andere vingerafdruk (die niet was geregistreerd) het apparaat ook ontgrendelde. Toen haar man het probeerde te ontgrendelen, ging het open voor zijn beide duimen. Dezelfde schermbeschermer veroorzaakte hetzelfde probleem bij montage op een andere S10.
Samsung zei op zijn beurt dat gebruikers alleen door Samsung goedgekeurde schermbeschermers mogen gebruiken. Ze volgden later op en zeiden dat ze de kwestie intern aan het onderzoeken waren. De smartphonegigant zei ook binnenkort een softwarepatch uit te brengen. Het is mogelijk dat dit verband houdt met eerdere rapporten die andere niet-officiële schermbeschermers hebben veroorzaakt problemen met de vingerafdruksensor omdat ze een kleine luchtspleet achterlieten, wat de werking verstoorde echografie.
Hoewel het bemoedigend is dat Samsung snel werkt om dit op te lossen, is het onderliggende probleem iets zorgwekkender. Het is duidelijk dat het scannen van vingerafdrukken met echografie nog steeds een technologie in opkomst is, en het is waarschijnlijk dat dit probleem al vanaf de eerste dag bestaat. Met dat in gedachten is het niet moeilijk voor te stellen dat er andere Day Zero-aanvallen zoals deze zijn die eenvoudigweg nog niet algemeen bekend zijn geworden.
Heb je in de tussentijd een Galaxy S10, volg dan het advies van Samsung op en gebruik alleen door Samsung goedgekeurde screenprotectors. Hopelijk komt de softwarepatch eerder vroeger dan later.
Bron 1: De zon
Bron 2: BBC
Update: de verklaring van Samsung
Samsung heeft een verklaring afgegeven over de fout in de vingerafdrukscanner van de Galaxy S10. Het bedrijf adviseert iedereen die een siliconen screenprotector op zijn Galaxy Note 10 of Galaxy S10 gebruikt om de cover te verwijderen en alle geregistreerde vingerafdrukken te verwijderen. Samsung raadt mensen ook aan de covers eraf te houden totdat er een softwarepatch is uitgebracht.
Het bedrijf plant volgende week een software-update uit te brengen om het probleem op te lossen. Zodra uw apparaat de update heeft ontvangen, zeggen ze dat u ervoor moet zorgen dat u uw volledige vingerafdruk scant.
Dit probleem betrof ultrasone vingerafdruksensoren die apparaten ontgrendelden nadat driedimensionale patronen die op bepaalde siliconen schermbeschermende hoesjes verschenen, werden herkend als vingerafdrukken van gebruikers.
Om verdere problemen te voorkomen adviseren wij Galaxy Note10/10+ en S10/S10+/S10 5G-gebruikers die gebruik maken van dergelijke covers om de cover te verwijderen, alle eerdere vingerafdrukken te verwijderen en ze opnieuw te registreren vingerafdrukken.
Als u momenteel beschermhoezen voor het voorscherm gebruikt, kunt u, om een optimale vingerafdrukscan te garanderen, deze hoes niet gebruiken totdat uw apparaat is bijgewerkt met een nieuwe softwarepatch.
Het is de bedoeling dat er volgende week een software-update uitkomt. Zodra deze is bijgewerkt, moet u uw computer scannen vingerafdruk in zijn geheel, zodat alle delen van uw vingerafdruk, inclusief het midden en de hoeken, zijn weergegeven volledig gescand.
Update 2: Bank-apps verwijderen tijdelijk de ondersteuning voor inloggen met vingerafdrukken voor Galaxy S10- en Note 10-apparaten
Het beveiligingslek in de vingerafdruk lijkt veel ernstiger dan aanvankelijk werd gedacht. Volgens meerdere rapporten kunnen gebruikers de ultrasone vingerafdrukscanner misleiden door er simpelweg een TPU-uitsparing overheen te plaatsen terwijl ze proberen deze te ontgrendelen met een niet-geregistreerde vinger. zelfs als de originele vingerafdrukregistratie werd gedaan zonder dat er schermbeschermers waren aangebracht. Dit betekent in wezen dat iedereen elke smartphone uit de Samsung Galaxy S10- en Galaxy Note 10-serie kan ontgrendelen, waardoor het authenticatieproces volledig wordt omzeild. Hier is een video die hetzelfde demonstreert:
Terwijl Samsung werkt aan een software-update om deze bug te verhelpen, hebben verschillende bank-apps de ernst van de situatie ingezien. Bijgevolg hebben bankapps de ondersteuning voor inlogopties met vingerafdruk voor de Samsung Galaxy S10-serie verwijderd en Samsung Galaxy Note 10-serie, of blokkeerde deze telefoons volledig de toegang tot hun apps en/of Play Store vermelding. Banken die tot nu toe actie hebben ondernomen zijn Nationwide Building Society en NatWest in het Verenigd Koninkrijk, Bank van China in China, KaKao Bank in Zuid-Korea en Hapoalim Bank in Israël. Wij verwachten dat vele anderen dit voorbeeld zullen volgen. Maar zelfs als dat niet het geval is, raden we gebruikers van de Galaxy S10 en Galaxy Note 10 aan om het ontgrendelen met vingerafdruk uit te schakelen en terug te keren naar het gebruik van ontgrendelingsoplossingen met wachtwoord/pincode/patroon totdat Samsung hun update uitrolt.
Verhaal via: GSMArena
Update 3: oplossing uitgegeven
Samsung heeft een update uitgebracht voor zijn Galaxy S10- en Note 10-smartphones, die naar eigen zeggen het probleem met de vingerafdruksensoren zal oplossen.
Het in Korea gevestigde bedrijf bood ook excuses aan via de klantenondersteuningsapp Samsung Members en adviseerde klanten om hun software bij te werken naar de nieuwste versie. Nog geen woord over de update die apparaten raakt, maar we houden het in de gaten.
Bron: Reuters
Update 4: Fix die nu wordt uitgerold
Gisteren zei Samsung dat ze het probleem met de vingerafdrukbypass hadden opgelost en dat er binnenkort een update zou worden uitgerold. Ongeveer 24 uur later ontvangen klanten die update. De bovenstaande schermafbeelding is van een Verizon Galaxy Note 10+. De updatedetails instrueren gebruikers om geregistreerde vingerafdrukken na de update te verwijderen en opnieuw te registreren zonder gebruik te maken van een schermcover. De update is slechts 7,1 MB groot en zou de komende weken naar alle Galaxy S10 en Note 10's moeten worden uitgerold.