Sommige vingerafdruksensoren op het scherm kunnen gemakkelijk voor de gek worden gehouden

Beveiliging is uiterst belangrijk als het om smartphones gaat. Tegenwoordig bevat de gemiddelde smartphone iemands bankgegevens, sociale media-accounts, persoonlijke foto's en zelfs gezondheidsinformatie. Zodra het vergrendelscherm wordt omzeild, heb je toegang tot zoveel aspecten van iemands privéleven. Dit is de reden waarom nieuwe beveiligingsfuncties met betrekking tot het vergrendelscherm zeer veilig moeten zijn. De nieuwste evolutie op het gebied van vergrendelschermtechnologie is de ingebouwde vingerafdruklezer. Naast een pincode, wachtwoord of patroon kunt u vingerafdrukontgrendeling instellen op uw telefoon (als de hardware aanwezig is); Vingerafdrukken kunnen naast alleen het vergrendelscherm ook worden gebruikt om de toegang tot veel apps en betalingssystemen te ontgrendelen. Helaas zijn sommige ingebouwde vingerafdrukscanners niet zo veilig als je zou denken als ze van een bepaald type zijn.

Demo voor bypass-vingerafdruksensor op het display

De video hierboven toont beelden van een methode die wordt gebruikt om authenticatie te omzeilen op een typische optische ingebouwde vingerafdrukscanner die op verschillende telefoons wordt aangetroffen. Deze exploit wordt uitgevoerd door een inktvingerafdruk van het slachtoffer omhoog te houden, vastgelegd op een doorzichtig plastic vel (zoals een plastic verpakking voor het bewaren van voedsel). De video laat zien dat als je de vastgelegde vingerafdruk op de sensor drukt, het apparaat onmiddellijk wordt ontgrendeld. Het proces is eenvoudig voor iedereen die toegang wil krijgen tot uw gegevens:

  1. Leg de vingerafdruk van het slachtoffer vast op een doorzichtig plastic vel
  2. Plaats de vingerafdruk over de sensor in het display
  3. Druk met uw vinger op de vingerafdruk en ontgrendel de telefoon

Waarom werkt dit?

Deze exploit is mogelijk vanwege de manier waarop de optische sensor in het display werkt. Het werkt niet op de oude traditionele sensor die je op de kin, achterkant of zijkant van een smartphone aantreft. De reden hiervoor is dat traditionele sensoren gebruik maken van capacitieve technologie (zoals die te vinden zijn op de OnePlus 5/5T/6, de meeste Samsung Galaxy-telefoons vóór de S10 en alle Pixel/Nexus-telefoons), terwijl de meeste nieuwe in-display-sensoren de minder veilige optische scanners. De optische scanner gebruikt in wezen een kleine camera onder het scherm om een ​​afbeelding van uw vingerafdruk vast te leggen. Als de afbeelding overeenkomt met uw opgeslagen vingerafdruk, wordt het scherm ontgrendeld. Omdat optische sensoren alleen afhankelijk zijn van het beeld dat ze vastleggen, kunnen ze verslagen worden door een afbeelding van een vingerafdruk op het scherm te plaatsen.

Een veiligere, maar langzamere vorm van de ingebouwde vingerafdruksensor is gebaseerd op ultrasone technologie. Deze methode is moeilijker te misleiden omdat er gebruik wordt gemaakt van geluidsgolven om de randen en dalen van een vingerafdruk te meten. Dit is moeilijker voor de gek te houden met een afbeelding, omdat hiervoor daadwerkelijke diepte binnen een vingerafdruk vereist is het is nog steeds mogelijk om te verslaan.

Vermijd optische sensoren als u veiligheid op prijs stelt

Hoewel het de bedoeling van de optische sensor is om de vingerafdrukscanner naar een minder ingrijpende locatie te verplaatsen, is er een alternatieve manier om dit te doen. Sommige vlaggenschiptelefoons houden nog steeds vast aan capacitieve sensoren, maar verplaatsen ze in plaats daarvan naar de aan / uit-knop van de telefoon. Deze afbeelding toont de aan / uit-knop op de Honor 20, die ook dienst doet als capacitieve vingerafdruksensor.

Eer 20 met zijsensor

Deze sensor kan maximaal vijf verschillende vingers herkennen en is gemakkelijk te gebruiken met links- of rechtshandige bediening zelfs als de telefoon naar boven is gericht (in tegenstelling tot capacitieve scanners aan de achterkant, waarbij de sensor vaak wordt geplaatst buiten bereik). Dit type aan de zijkant gemonteerde sensor is te vinden in veel nieuwe telefoons zoals de Honor 20, Honor 20 Pro, Sony Xperia 1 en Samsung Galaxy S10e. Niet alleen is de capacitieve oplossing veiliger, maar de optische sensoren zijn ook bekritiseerd omdat ze veel te traag zijn. Dit kan een frustrerende ervaring zijn voor veel gebruikers die gewend zijn aan de snelle en veilige prestaties van hun optische scanner.

Onze ervaring met de verbeterde sensorlocatie op de Honor 20 en Honor 20 Pro bewijst dat dit de beste manier is forward is voorlopig capacitief totdat optische en ultrasone in-display-oplossingen veiliger en sneller worden, respectievelijk. Deze oplossing verplaatst de scanner uit lastige locaties terwijl de veiligheid en snelheid behouden blijven die u van een vingerafdrukscanner mag verwachten. Honor heeft de mogelijkheid geïntegreerd om de sensoren te activeren bij contact of wanneer u op de aan / uit-knop drukt. Hierdoor kunt u de ervaring aanpassen aan uw voorkeur.

Capacitieve sensor [links] vergeleken met ultrasone sensor [rechts]

Er zijn verschillende voordelen aan het hebben van een capacitieve sensor. De GIF hierboven laat zien hoe de telefoon aan de linkerkant veel sneller reageert dan de ultrasone sensor aan de rechterkant. Het is niet alleen sneller, maar het bevindt zich ook op een gunstiger locatie. Wanneer de vingerafdruksensor zich onder het scherm bevindt, kun je je telefoon pas ontgrendelen als je hem plat en gebalanceerd in je hand laat rusten. Omdat u bij traditionele sensoren uw duim niet uit de greep van uw telefoon hoeft te halen, kunt u de telefoon in elke positie ontgrendelen terwijl u hem oppakt. In dit geval zijn zelfs de sensoren aan de achterkant van de telefoon (zoals te zien op de Honor 20 Lite) nog steeds superieur aan het ultrasone alternatief.

In de toekomst zien we mogelijk een verbeterde beveiliging van optische sensoren. In de tussentijd moeten gebruikers die deze exploit willen vermijden ervoor zorgen dat hun volgende telefoon een capacitieve (of op zijn minst ultrasone in-display) sensor heeft.

Wij danken Honor voor het sponsoren van dit bericht. Onze sponsors helpen ons met het betalen van de vele kosten die gepaard gaan met het runnen van XDA, inclusief serverkosten, fulltime ontwikkelaars, nieuwsschrijvers en nog veel meer. Hoewel je mogelijk gesponsorde inhoud (die altijd als zodanig wordt gelabeld) naast Portal-inhoud ziet, is het Portal-team op geen enkele manier verantwoordelijk voor deze berichten. Gesponsorde inhoud, advertenties en XDA Depot worden volledig beheerd door een apart team. XDA zal nooit zijn journalistieke integriteit in gevaar brengen door geld te accepteren om positief over een bedrijf te schrijven, of onze meningen of standpunten op welke manier dan ook te veranderen. Onze mening is niet te koop.