‘Apple’s Live Photos zijn een beveiligingsrisico bij bankapps’

Met Apple's Live Photos kun je bankapps voor de gek houden, als ze biometrische gezichtsherkenning gebruiken. Dat ontdekte een onderzoeker.

Banken en andere diensten die goed beveiligd moeten zijn, gebruiken steeds vaker biometrische methoden. In plaats van je wachtwoord moet je een vinger, oog of je hele gezicht scannen. Volgens een beveiligingsonderzoeker vormt Apple’s Live Photos daarbij een beveiligingsrisico, want het lukte om bij twee mobiele bankapps in te loggen.

Bank: gezichtsherkenning om in te loggen

Bankapp foppen met Live Photo

Het werkt als volgt: beveiligde apps die met een gezichtsscan werken, vereisen vaak dat je met je ogen knippert, om te kunnen constateren dat iemand echt leeft. Anders zou je gemakkelijk een foto voor de camera kunnen houden. Zo’n systeem biedt gemak, want het is minder gedoe dan een wachtwoord invoeren. Maar er kleven ook problemen aan.

Volgens onderzoeker Meaghan Johnson, werkzaam bij een consultancybureau dat financiële technologieën onderzoekt, lukte het om in te loggen bij banken door gebruik te maken van een Live Photo. Zo’n Live Photo legt 1,5 seconde video vast rondom het maken van een foto en de kans is groot dat je dan even met je ogen knippert. Als kwaadwillende kun je zo’n filmpje afspelen. Johnson probeerde het alleen met Live Photos van zichzelf, maar waarschuwt dat kwaadwillenden er ook gebruik van kunnen maken.

Biometrische beveiliging is op zich heel veilig, omdat je unieke kenmerken van iemands lichaam meet. Op zich waren er al veel langer biometrische systemen, maar door de invoering van Touch ID in de iPhone is de techniek omarmd door de mainstream gebruikers. De meeste Nederlandse banken kiezen daarbij voor het scannen van je vinger, maar er zijn ook aanbieders (zoals bunq) waarbij je gezicht wordt gescand. Je moet daarbij even knipperen met je ogen, zodat het systeem weet dat je geen foto voor de camera houdt. MasterCard is ook bezig met de technologie, waarbij ze de identiteit van een gebruiker vaststellen door een selfie te maken. Ook bij MasterCard moet je éénmaal met je ogen knipperen. De foto bovenaan dit artikel is van de Britse Atom Bank, die op soortgelijke wijze werkt.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 19 augustus 2016, 9:40
Categorie Achtergrond
Onderwerp live photos

Reacties zijn gesloten voor dit artikel.