Face Unlock van OnePlus 6 te foppen met foto
Een Nederlandse hacker heeft de gezichtsherkenning van de nieuwe OnePlus 6 gefopt. Door een foto van zijn gezicht uit te printen en deze voor het hoofd van een ander te houden ontgrendelt de telefoon.
Toen Rik van Duijn, ethisch hacker bij securitybedrijf DearBytes, vanochtend onder de douche stond dacht hij: hoe veilig is de gezichtsherkenning van de OnePlus 6? Zou je het kunnen foppen met een foto? Het antwoord is: ja, en simpel ook.
Hij printte een foto van zijn gezicht uit op een A4'tje, knipte hem uit en hield hem voor de OnePlus 6. De smartphone ontgrendelde na wat stoeien met de juiste hoek. Toen vroeg hij een collega om de foto voor zijn gezicht te houden, waarna de telefoon sneller ontgrendelde.
De vergrendelingsmethode van een telefoon is belangrijk omdat het toegang biedt tot je persoonlijke informatie, zoals e-mails, foto's en WhatsApp-berichten. Als de telefoon is vergrendeld kunnen anderen niet zomaar bij deze informatie. Dit is bijvoorbeeld belangrijk als je telefoon wordt gestolen of als je hem kwijtraakt.
Grappig
Als ethisch hacker probeert Van Duijn vaker beveiligingsmethoden te omzeilen, om de kwetsbaarheden te melden en de beveiliging te verbeteren. Het kraken van je eigen apparaten 'hoort er een beetje bij', vertelt hij tegen RTL Z: "Ik dacht, als het lukt, dan zou dat wel grappig zijn."
Face Unlock gebruikt de camera aan de voorkant om je gezicht te identificeren, bijvoorbeeld de afstand tussen je ogen en neus en lip. De technologie werkt veel sneller dan bijvoorbeeld FaceID van de iPhone X, maar is ook minder veilig. Dat vermeldt OnePlus ook bij het instelen van Face Unlock, en stelt daarbij duidelijk dat een pincode en vingerafdruk veiliger zijn.
Risico
"Je zou met een foto van het internet iemands OnePlus 6 kunnen ontgrendelen", legt Van Duijn uit, en dat vormt een beveiligingsrisico. Face Unlock is naast de OnePlus 6 ook beschikbaar op de OnePlus 5T, 5, 3T en 3, maar het is onduidelijk of de truc ook werkt met die telefoons. OnePlus-gebruikers die zich zorgen maken om dit risico kunnen beter de vingerafdrukscanner of een zescijferige pincode gebruiken.
Volgens OnePlus is Face Unlock een 'optie voor gemak en niet voor veiligheid', maar het bedrijf gaat de bevindingen van Van Duijn wel onderzoeken. Na het onderzoek weet OnePlus of er maatregelen en een eventuele update nodig zijn.
FaceID van Apple
Ook FaceID van de iPhone X is niet helemaal veilig: beveiligingsbedrijf Bkav maakte een masker van zo'n 170 euro waarmee de telefoon werd ontgrendeld. Om het masker te maken moest er wel een 3D-scan van het gezicht van de persoon worden gemaakt.
Daarnaast kunnen ook tweelingen Face ID foppen: dat is al meerdere keren aangetoond. De iPhone X ziet het verschil niet tussen de een of de ander van een eeneiige tweeling.