‘Apple’s Live Photos zijn een beveiligingsrisico bij bankapps’

Met Apple's Live Photos kun je bankapps voor de gek houden, als ze biometrische gezichtsherkenning gebruiken. Dat ontdekte een onderzoeker.
Gonny van der Zwaag | iCulture.nl -

Banken en andere diensten die goed beveiligd moeten zijn, gebruiken steeds vaker biometrische methoden. In plaats van je wachtwoord moet je een vinger, oog of je hele gezicht scannen. Volgens een beveiligingsonderzoeker vormt Apple’s Live Photos daarbij een beveiligingsrisico, want het lukte om bij twee mobiele bankapps in te loggen.


Bank: gezichtsherkenning om in te loggen

Bankapp foppen met Live Photo

Het werkt als volgt: beveiligde apps die met een gezichtsscan werken, vereisen vaak dat je met je ogen knippert, om te kunnen constateren dat iemand echt leeft. Anders zou je gemakkelijk een foto voor de camera kunnen houden. Zo’n systeem biedt gemak, want het is minder gedoe dan een wachtwoord invoeren. Maar er kleven ook problemen aan.

https://www.iculture.nl/gids/live-photos/

Volgens onderzoeker Meaghan Johnson, werkzaam bij een consultancybureau dat financiële technologieën onderzoekt, lukte het om in te loggen bij banken door gebruik te maken van een Live Photo. Zo’n Live Photo legt 1,5 seconde video vast rondom het maken van een foto en de kans is groot dat je dan even met je ogen knippert. Als kwaadwillende kun je zo’n filmpje afspelen. Johnson probeerde het alleen met Live Photos van zichzelf, maar waarschuwt dat kwaadwillenden er ook gebruik van kunnen maken.

Bekijk ook

iOS 11 Live Photos

De beste apps voor je Live Photos

Je kunt op de iPhone en iPad Live Photos maken. Er zijn talloze apps waarmee je die bewegende foto’s nog leuker kunt maken of kunt omzetten naar een gifje. Hieronder stellen we de beste Live Photos-apps aan je voor.

Biometrische beveiliging is op zich heel veilig, omdat je unieke kenmerken van iemands lichaam meet. Op zich waren er al veel langer biometrische systemen, maar door de invoering van Touch ID in de iPhone is de techniek omarmd door de mainstream gebruikers. De meeste Nederlandse banken kiezen daarbij voor het scannen van je vinger, maar er zijn ook aanbieders (zoals bunq) waarbij je gezicht wordt gescand. Je moet daarbij even knipperen met je ogen, zodat het systeem weet dat je geen foto voor de camera houdt. MasterCard is ook bezig met de technologie, waarbij ze de identiteit van een gebruiker vaststellen door een selfie te maken. Ook bij MasterCard moet je éénmaal met je ogen knipperen. De foto bovenaan dit artikel is van de Britse Atom Bank, die op soortgelijke wijze werkt.

Bekijk ook

Hoe tevreden ben jij met de app van jouw bank? (foto via Shutterstock: shutterstock_262071701)

iCulture peilt: Hoe tevreden ben jij over de app van jouw bank? [uitslag]

De app van je bank gebruik je bijna dagelijks. Ben jij tevreden over de bank-app die je gebruikt, of is het een drama en ben je sterk geneigd om over te stappen? iCulture zoekt het uit in deze mini-enquête.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Het laatste nieuws over Apple van iCulture

Live Photos

Alles over Live Photos, de geanimeerde foto's die je op de iPhone en iPad maakt. Live Photos zijn korte bewegende foto's, vergelijkbaar met gifs. Je kan een Live Photo bewerken met meerdere effecten en je kan ze ook omzetten als sticker op je iPhone tot een zogenaamde Live Sticker. De Live Photos zijn geïntroduceerd in 2015 en je kunt ze op vrijwel alle devices van Apple maken én bekijken.

Live Photos bewerken

Ook interessant

Reacties: 13 reacties

  1. Dit heeft toch niks met Live Photos te maken? Dit kan net zo goed met video’s die meer materiaal dan 1,5 sec vast kunnen leggen.

  2. @Iain: Precies

  3. @Iain: Precies wat ik dacht! Wat een onzin.

  4. @Iain: tja, door Apple te noemen in het onderzoek zorgen ze ervoor dat hun onderzoek direct door allerlei nieuwssites wordt opgepikt.

  5. Meaghan heeft het niet helemaal begrepen: de kwetsbaarheid zit natuurlijk in de authenticatiemethode, die misschien niet door banken gebruikt zou moeten worden. Live Photos is een van de voorbeelden hoe je dit zou kunnen uitbuiten.

  6. Correcte titel: biometrische beveiligingsmaatregelen vormen een risico bij banken

  7. Origineel geplaatst door Iain
    Dit heeft toch niks met Live Photos te maken? Dit kan net zo goed met video’s die meer materiaal dan 1,5 sec vast kunnen leggen.

    Inderdaad dit is nu eens een voorbeeld van ‘Apple-bashing’ een video of live foto er is geen verschil… een aanval voor niks.

  8. Beetje vergezocht. Dan moet die aanvaller eerst zo’n filmpje van he gezicht maken, en daarna jouw iPhone stelen waar je bankapp op staat. Misschien kan die aanvaller dan beter gewoon even vragen of je jouw bankpasje en PIN code wil afgeven…

  9. Biometrische beveiligingsmaatregelen vormen een risico zo ook het scannen van je vinger.
    Alles is bij voorbaat lek.
    In dit geval heeft het met verspreiding te maken , iedereen stuurt wel eens een foto van zichzelf zo dus ook een Live Photo.
    Weinig doen dit met een filmpje van het gezicht dus moet je die uit een grotere film zien te trekken.
    Dus heeft het te maken met het aanbod op het net en zeker geen overval.

  10. Zolang mobiele telefoons geen 3D camera hebben, is gezichtsherkenning sowieso een beveiligingsprobleem.

  11. Onzin. Als de camera een controle uitvoert op bijvoorbeeld schitteringen in het beeld (afgebogen licht op de glasplaat van het LCD scherm), is het probleem al verholpen. Een video had minstens net zo goed al dan niet beter gewerkt.

  12. Je kunt biometrische eigenschappen niet resetten als ze uitlekken, in tegenstelling tot wachtwoorden, codes, certificaten, etc. Een belangrijk nadeel wat mij betreft.

  13. @Johan: Snapchatters doen dat uit zichzelf al.