Zo gebruikt een onderzoeker Live Foto’s om bank-apps te kraken
Lars Paymans

Banken proberen hun apps op zoveel mogelijk manieren te beveiligen, maar gezichtsherkenning is dankzij Apples Live Foto’s misschien niet het beste idee. Een onderzoeker laat zien waarom Live Foto’s banken biometrische beveiliging voor de gek kunnen houden.

Live Foto’s banken voor de gek gehouden

Maeghan Johnson van Fintech consultancy 11:FS zegt een manier gevonden te hebben om de gezichtsherkenning van twee Amerikaanse banken voor de gek te houden met Apples Live Foto’s. Daar is naast een iPhone geen geavanceerde techniek voor nodig.

Het probleem met de huidige vorm van gezichtsherkenning is dat de beveiliging kijkt naar de ogen van de gebruiker, en registreert of deze knipperen. Als de camera jou met je ogen ziet knijpen, weet de software dat er geen foto voor de lens wordt gehouden en kan er toegang tot de bankrekening worden gegeven. Erg snel en vooral gemakkelijk voor jou als gebruiker, aangezien je hierdoor geen wachtwoord meer in hoeft te vullen.

Live Photo's banken

 

Hierbij houdt de beveiliging dus geen rekening met Live Foto’s: bewegende kiekjes waarop iemand vaak met zijn of haar ogen knippert. Johnson zegt met een dergelijke selfie een bankrekening binnen vijf seconden ‘gekraakt’ te hebben. Het enige wat ze hiervoor hoefde te doen was de bewegende foto voor de lens te houden.

Werk aan de winkel voor banken?

Vooralsnog zijn er maar weinig banken die biometrische methoden gebruiken als beveiligingsmiddel, wat het gevaar van deze methode vooralsnog beperkt. Wel zijn er steeds meer banken geïnteresseerd in deze methode, om zo het klassieke wachtwoord te vervangen. Ook kun je niet zomaar iedere Live Foto gebruiken voor deze techniek. Het gezicht van de persoon moet goed zichtbaar zijn, wat het lastiger maakt voor een buitenstaander om deze te verkrijgen.

In het onderzoek worden de Live Foto’s als voorbeeld genoemd, maar ligt de verantwoordelijkheid natuurlijk bij de bank om dit soort gaten in de beveiliging te voorkomen. Je zou in theorie net zo gemakkelijk een kort filmpje van iemands gezicht kunnen gebruiken om de biometrische beveiliging te omzeilen. Het toeval wil alleen dat mensen op een selfie beter met hun gezicht in beeld staan dan in het gemiddelde filmpje.

Lees het laatste nieuws over Apple

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.