Hoe een vingerafdrukscanner hacken? De methodes die fabrikanten blokkeren

Stel je even voor: je staat voor je voordeur, je hand zit vol boodschappen, en je telefoon of deurslot weigert dienst. Je vingerafdrukscanner herkent je niet. Irritant, hè? Maar wat als ik je vertel dat er manieren bestaan om zo’n scanner te foppen?

Niet om in te breken bij de buren, maar om te begrijpen hoe het werkt en – veel belangrijker – hoe je jezelf beter beschermt.

We duiken in de wereld van biometrie en laten zien hoe fabrikanten die hacking-trucs proberen te stoppen.

Wat je echt nodig hebt voordat je begint

Even lekker praktisch. Je hoeft geen hacker-hoodie aan, maar je moet wel het een en ander regelen.

We hebben het over toegang tot een specifieke scanner. Koop niet zomaar een goedkoop model van €20,- op een Chinese marktplaats. Zoek naar een populair model van een bekend merk, bijvoorbeeld de Yale Fingerprint Lock of de Eufy Smart Lock.

Die hebben een redelijke beveiliging en zijn vaak te vinden voor €120,- tot €250,-.

Daarnaast heb je materialen nodig die je waarschijnlijk al in huis hebt of makkelijk kunt scoren. Denk aan transparante tape (de goedkope rolletjes van €1,- tot €3,-), wat heldere siliconen of zelfgemaakte gelatine. Voor de wat serieuzere aanpak hebben we het over speciale conductieve verf (rond €10,- per flesje).

En heel belangrijk: een huidskleurige nagellak of foundation (€5,- tot €15,-) om de vingerafdruk wat echter te maken. Zorg dat je een rustige werkplek hebt met genoeg licht en ongeveer 2 uur de tijd.

De voorwaarde is dat je dit doet op een apparaat dat je zelf bezit.

We testen de kwetsbaarheden van de technologie, niet de veiligheid van je buurman. Houd er rekening mee dat je soms een fabrieksreset moet doen na een mislukte test, dus backup je data even. Verwacht geen wonderen; de meeste moderne scanners hebben al flink wat maatregelen ingebouwd.

De klassieke aanval: de namaakvinger

Dit is de methode die je vaak in films ziet. Je maakt een afdruk van een vinger en gebruikt die om de scanner te misleiden.

Het klinkt simpel, maar de uitvoering vereist precisie. De meeste goedkope scanners vallen hier nog steeds voor, terwijl duurdere modellen met speciale sensoren voor vingerafdrukherkenning dit direct herkennen.

1. Maak de afdruk: Druk je vinger stevig op een stukje klei of was van ongeveer 2 tot 3 millimeter dik. Laat het niet te diep indrukken, een oppervlakkige afdruk is vaak genoeg. Dit duurt maar een minuutje.
2. De mal gieten: Giet wat heldere siliconen of zelfgemaakte gelatine (vermeng met wat water en agar-agar) in de mal. Laat het 15 tot 20 minuten uitharden op kamertemperatuur.
3. De vorm eruit halen: Voorzichtig de siliconen vinger eruit peuteren. Als het te dun is, scheurt het. Een veelgemaakte fout is te veel materiaal gebruiken, waardoor de vorm te log wordt.
4. Testen maar: Druk de siliconen vinger op de scanner. Sommige scanners detecteren geen warmte, dus dit werkt soms. Andere scanners met 'liftdetectie' (die voelen of je vinger echt optilt) werken hier niet op.

Veelgemaakte fout? De afdruk is niet scherp genoeg. Je hebt echt een perfecte, onbeschadigde afdruk nodig. Als je vingertoppen droog zijn, werkt de klei niet goed.

Gebruik dan een klein beetje vocht op je vinger voordat je hem in de klei drukt.

De totale tijd voor deze methode is ongeveer 30 minuten tot een uur.

De 'gummy bear' hack: geleidende materialen

Deze methode is beroemd geworden door onderzoekers die een scanner kraakten met een gummy bear (een snoepje).

De truc zit 'm in de geleidbaarheid. Je vingerafdruk is niet alleen een vorm, maar bevat ook elektrische signalen die sommige scanners meten (capaciteit). Om deze goed te registreren, is een vingerafdrukscanner schoonmaken voor een vetvrij oppervlak essentieel. We proberen die signalen na te bootsen.

1. De basis: Neem een stukje transparante tape of een dun laagje plastic. Dit is je drager.
2. De geleider: Schilder de vingerafdrukpatronen (die je eerst op een stuk papier hebt afgedrukt) met conductieve verf. Dit is een speciale verf die elektriciteit geleidt en kost ongeveer €10,-. Je kunt ook de binnenkant van een lege gummy bear gebruiken (het gelatine-achtige materiaal), maar dat is minder betrouwbaar.
3. Plakken: Laat de verf goed drogen (10 minuten). Plak het voorzichtig op je vinger of druk het direct op de scanner. De scanner moet denken dat er echt huidcontact is.
4. De test: Houd het plakje 5 seconden stevig op de scanner. Sommige scanners zijn ingesteld op drukgevoeligheid; als je te licht drukt, faalt de hack.

Een veelgemaakte fout is dat de tekening te dik is. De lijnen moeten smaller zijn dan 0,5 millimeter om echt op een echte vingerafdruk te lijken.

Als de scanner een 'poriën-detectie' heeft (die scant naar kleine gaatjes in je huid), werkt deze truc niet.

Die technologie vind je vaak bij scanners boven de €150,-.

Hoe fabrikanten dit blokkeren: de technologie achter de schermen

Fabrikanten zitten niet stil. Ze weten dat je probeert ze te foppen.

Daarom stoppen ze geld in slimme technologie die namaak direct herkent. Ze combineren meerdere sensoren om het jou moeilijk te maken. Wil je vingerafdrukherkenning integreren in een domotica systeem? Hieronder zie je wat ze gebruiken en hoe je dat kunt herkennen.

• Capacitieve scanners: Deze meten de elektrische lading van je huid. Ze werken met een chip van ongeveer 1x1 cm. Ze herkennen direct dat een stuk tape of gelatine geen elektrische lading heeft. Ze zijn te vinden in de meeste smartphones en deursloten vanaf €100,-.
• Ultrasone scanners: Deze sturen geluidsgolven uit (zoals een bat). Ze maken een 3D-plaatje van je vingertop inclusief poriën. Dit is extreem moeilijk te faken. Een merk dat dit gebruikt is Samsung op hun high-end telefoons.
• Liftdetectie: De scanner meet het gewicht en de beweging. Als je een mal erop drukt en niet optilt, weet de scanner dat het nep is. Dit zit vaak in sloten van merken zoals Schlage.
• Warme detectie: Sommige scanners meten de temperatuur. Een koude siliconen vinger of een stuk plastic is meteen verdacht. Ze zoeken naar een temperatuur van rond de 32 graden Celsius.

Deze maatregelen zijn er om jouw privacy te beschermen. Als je een scanner koopt, kijk dan op de doos of er woorden staan als 'anti-spoofing' of 'liveness detection'.

Dat betekent dat de fabrikant moeite heeft gedaan om bovenstaande hacks te blokkeren. Een scanner van €20,- heeft dit bijna nooit.

Veiligheidschecklist: is jouw scanner echt veilig?

Wil je weten of je huidige scanner deugt? Loop deze lijst even na.

Het kost je 5 minuten. Dit helpt je inschatten of je data wel echt veilig is. Wees eerlijk tegen jezelf.

1. Check het merk en model: Google even. Staat er in de reviews iets over 'makkelijk te foppen' of 'nep-vingerafdrukken'? Als een review van een jaar geleden zegt dat ie makkelijk te hacken is met tape, koop hem niet.
2. Test met nagellak: Schilder je vingertop (als je durft!) met een laagje huidskleurige nagellak. Druk hem op de scanner. Werkt het? Dan is het een simpele optische scanner en geen veilige capacitieve. Kosten: €5,-.
3. Probeer een plastic pasje: Druk een dun pasje (zoals een OV-kaart) op de scanner. Als hij open gaat, is de drukdetectie slecht. Doe dit alleen op je eigen slot!
4. Lees de specificaties: Zoek op 'spoof resistance' of 'ANSI Grade 2' (een veiligheidsnorm voor deursloten). Grade 2 sloten (rond €150,-) zijn vaak getest op dit soort aanvallen.
5. Update je firmware: Fabrikanten patchen lekken. Check de app van je slot of telefoon. Is er een update van minder dan een maand geleden? Installeer die direct.

Als je scanner door al deze checks komt, kun je er redelijk op vertrouwen.

Maar onthoud: perfecte veiligheid bestaat niet. De beste beveiliging is een combinatie. Gebruik naast je vingerafdruk altijd een pincode of wachtwoord. Zo blijf je altijd je eigen meester over je data en je privacy.