De kwetsbaarheid van biometrie voor 'Replay Attacks'
Je kent het wel: je telefoon ontgrendelen met je vingerafdruk of je gezicht. Het voelt magisch en superveilig.
Maar stel je voor dat iemand een foto van je gezicht gebruikt om je telefoon te kraken, of een rubberen afdruk van je vinger. Dat is precies wat een replay-aanval is. Het is een trucje waarbij biometrische data wordt hergebruikt om een systeem te foppen. In dit stuk duiken we in de zwakke plekken van vingerafdruk- en gezichtsherkenning en hoe je je kunt beschermen.
Wat is een replay-aanval eigenlijk?
Een replay-aanval is simpelweg het opnieuw afspelen van eerder gestolen data. Denk aan een dief die een foto van je gezicht maakt en die gebruikt om je telefoon te ontgrendelen. Bij vingerafdrukken gaat het om een nep-vinger gemaakt van latex of siliconen.
Het idee is dat het systeem denkt: "Hey, dit is de echte gebruiker!" terwijl het een namaak is.
Het gevaar zit in de eenvoud. Je hoeft geen hacker-genie te zijn.
Een simpele camera of een 3D-printer is soms al genoeg. Vooral bij goedkopere scanners op budget-smartphones is dit een reëel risico. Duurdere systemen, zoals die op de iPhone of Samsung Galaxy, hebben wel extra lagen van beveiliging.
Replay-aanvallen zijn niet alleen theorie. Er zijn al gevallen bekend van dieven die selfies gebruiken om telefoons te kraken.
Hoe werkt een replay-aanval bij vingerafdrukken?
Bij vingerafdrukscanners gaat het vaak om optische of capacitieve sensoren. Een optische scanner maakt een foto van je vingertop.
Een capacitieve sensor meet de elektrische lading van je huid. Een replay-aanval speelt hierop in door een nep-vinger te maken die lijkt op de echte. Voor een optische scanner volstaat een hoge-resolutie foto van je vingerafdruk, afgedrukt op een stuk latex.
Een capacitieve sensor is iets lastiger te foppen, maar met een 3D-geprinte vingerafdruk in de juiste materialen lukt het ook.
Er zijn zelfs kits te koop voor zo’n €50 tot €100 waarmee je dit kunt proberen. De kern van het probleem? Biometrische data is statisch. Je vingerafdruk verandert niet, al is het goed om te weten hoe biometrische sensoren omgaan met littekens en slijtage. Als je vingerafdruk eenmaal gestolen is, kun je hem niet zomaar aanpassen zoals een wachtwoord. Dat maakt replay-aanvallen zo lastig om te voorkomen.
Gezichtsherkenning en de selfie-val
Gezichtsherkenning is nog gevoeliger voor replay-aanvallen, vooral als het gaat om 2D-systemen.
Die gebruiken een simpele camera en herkennen patronen in je gezicht. Een foto van je gezicht, zelfs vanaf sociale media, kan soms al genoeg zijn om een apparaat te ontgrendelen. Denk aan budget-smartphones met een basale selfie-camera als scanner.
Bij 3D-gezichtsherkenning, zoals Face ID op iPhones, is het lastiger. Die gebruiken infrarood en dieptesensoren om een 3D-model van je gezicht te maken.
Een platte foto werkt dan niet. Maar met een 3D-geprint masker van je gezicht, gemaakt van foto’s, lukt het soms nog steeds.
Prijzen voor zo’n masker beginnen bij €100 en lopen op tot €500, afhankelijk van de kwaliteit. Een specifieke zwakte is de lage beveiliging op sommige Android-toestellen. Fabrikanten zoals Xiaomi of Oppo hebben budgetmodellen waarbij gezichtsherkenning minder veilig is dan vingerafdrukscanners. Check altijd de beveiligingsupdates van je toestel.
Hoe bescherm je jezelf tegen replay-aanvallen?
Gelukkig zijn er manieren om het risico te verkleinen, zoals het inzetten van geavanceerde anti-spoofing technieken. Gebruik daarnaast altijd meerdere authenticatiemethoden.
Combineer bijvoorbeeld gezichtsherkenning met een pincode of wachtwoord. Op de iPhone kun je Face ID uitschakelen en alleen een code gebruiken als je extra veilig wilt zijn.
Kies voor toestellen met geavanceerde sensoren. De iPhone 14 of Samsung Galaxy S23 hebben betere beveiliging dan een budget-Android van €200. Ze gebruiken lagen van beveiliging, zoals liveness detection, die beweging of infrarood meet om te checken of het echt een gezicht is.
Let op je digitale voetafdruk. Deel geen hoge-resolutie selfies op sociale media waar je gezicht duidelijk te zien is.
Gebruik privacy-instellingen om je foto’s af te schermen. En vermijd het gebruik van biometrie op openbare plekken, waar iemand makkelijk een foto kan maken.
Praktische tips om je biometrische data te beschermen
- Gebruik een sterke pincode of wachtwoord als back-up, minimaal 6 cijfers.
- Update je toestel regelmatig: fabrikanten patchen beveiligingsgaten.
- Kies voor merken met goede beveiliging, zoals Apple of Samsung, niet de goedkoopste opties.
- Gebruik een screen protector die je vingerafdrukscanner niet belemmert, maar wel privacy beschermt.
- Test je scanner: probeer een foto van je vingerafdruk te gebruiken en kijk of die werkt.
Als je twijfelt over de veiligheid van je apparaat, verdiep je dan in de rol van de Secure Element chip of schakel biometrie uit en ga voor een wachtwoordmanager.
Apps zoals LastPass of 1Password kosten €30-€50 per jaar en bieden sterke beveiliging zonder biometrische risico’s. Biometrie is handig, maar geen toverstaf.
Blijf alert en combineer het met andere methoden. Zo blijf je veilig in een wereld waar replay-aanvallen steeds vaker voorkomen.