Met een aangepast smart lock is het mogelijk om vingerafdrukken te stelen. Het oppakken van een apparaatje maakt diefstal van biometrische data al mogelijk. Dat blijkt uit onderzoek van Steve Kerrison van de James Cook University in Singapore.
Goedkope IoT-apparaten zijn steeds vaker voorzien van vingerafdruksensoren. Een kwaadwillende kan via een minder beveiligd IoT-apparaat een vingerafdrukafbeelding ontvreemden. Op deze manier kan hij zich toegang verschaffen tot een ander apparaat of account. In zijn publicatie noemt Kerrison dit een droplock attack.
Volgens de onderzoeker zijn er twee scenario’s. Het eerste is als volgt: wanneer iemand een apparaat oppakt dat is uitgerust met een vingerafdrukscanner, scant dit zijn vingerafdruk en stuurt deze door. Dat gebeurt zonder dat het slachtoffer hier iets van merkt. In het tweede scenario gaat het om smart locks met een vingerafdruksensor. Kerrison slaagde erin om met een debug-interface de firmware van een smart lock te overschrijven. Zo kon hij vingerafdrukken scannen en via bluetooth naar een apparaat of aanvaller in de buurt zenden.
Bescherming tegen deze aanvallen is mogelijk door debug-interfaces uit te schakelen en alleen gesigneerde firmware-updates te accepteren. Tevens dienen eindgebruikers alerter te zijn op malafide IoT-apparaten, aldus Kerrison.
Klik hier (1) voor de paper van Steve Kerrison.
https://arxiv.org/pdf/2208.13343.pdf
