Hackers omzeilen handafdrukscanner met wassen nephand

De Duitse security-onderzoekers Jan Krissler en Julian Albrecht zijn erin geslaagd om de biometrische beveiligingsmethode ‘aderpatroonverificatie’ te kraken. Met een wassen nephand wisten de hackers handafdrukscanners van zowel Hitachi als Fujitsu om de tuin te leiden.

De hackers toonden hun bevindingen tijdens het jaarlijkse Chaos Communication Congress in Duitsland. Hitachi en Fujitsu beslaan zo’n 95 procent van de handafdrukscannermarkt.

Daar waar vingerafdrukken op oppervlakken achtergelaten kunnen worden, is dat niet het geval voor aderpatronen. Het is dan ook niet zo vreemd dat deze biometrische methode in eerste instantie als veilig wordt beschouwd. Toch wisten Krissler en Albrecht vrij eenvoudig de beveiligingsmethode te omzeilen. Ze zijn erin geslaagd om de aderopmaak van hun doelwit vanaf een foto te kopiëren. De foto werd gemaakt met een spiegelreflexcamera waarvan de infraroodfilter werd verwijderd.

Hoewel de wassen hand zelf binnen een kwartier was gemaakt, hadden de hackers er 30 dagen en meer dan 2.500 testfoto’s voor nodig om tot dat punt te komen. Ook tijdens de demonstratie tijdens het Chaos Communication Congress verliep niet alles zoals gepland. De scanners moesten onder een tafel worden geplaatst om zo te voorkomen dat het licht in de grote hal de hack zou verstoren.

Duitse inlichtingendienst

De aderpatroonverificatie wordt niet gebruikt op reguliere smartphones, maar wel bijvoorbeeld om toegang tot gebouwen te controleren. Een woordvoerder van Fujitsu bagatelliseert de bevindingen. In een verklaring aan Heise Online laat de woordvoerder weten dat het omzeilen van deze biometrische beveiligingsmethode alleen lukt onder labo-omstandigheden. In de echte wereld zou het naar eigen zeggen waarschijnlijk niet werken.

Krissler, ook wel bekend onder het pseudoniem ‘Starbug’, wist eerder al biometrische beveiligingsmethodes te omzeilen. Zo wist hij in 2013 de Apple Touch ID binnen 24 uur na lancering in Duitsland te passeren en omzeilde hij vrij eenvoudig irisscanners door een contactlens op een foto van een oog te plaatsen. Ook gebruikte hij hogeresolutiefoto’s om de vingerafdruk van de Duitse minister van defensie na te maken.