Ze zijn er goed in bij De Telegraaf: lekker pakkende koppen die het grote publiek meteen pakken. Het nadeel is dat in die koppen nog wel eens een loopje met de waarheid genomen wordt, waardoor je bang wordt gemaakt terwijl er niet zoveel aan de hand is.

Nu gaat het om een artikel met de titel Alarm om een nieuwe truc met deepfake: ‘Hackers kopiëren je gezicht en plunderen je bankrekening’



In werkelijkheid blijkt het te gaan om de GoldDigger, een trojan waarover je al eerder hier op MacFreak de details kon lezen.

Dit is Chinese malware die als doel heeft om zoveel mogelijk gevoelige data te stelen van je iPhone, bijvoorbeeld je sms-verkeer. Maar het installeren daarvan gaat zeker niet ongemerkt. Je wordt eerst gevraagd een nieuwe app te installeren via Apple’s TestFlight-app, of om een zogenaamd MDM-profiel te installeren. Die vraag wordt dan gesteld uit naam van je bank of van een overheidsinstantie, in de hoop dat je er zo in trapt. Als je dit soort onzin negeert en gewoon al je apps via de App Store downloadt, dan loop je geen enkel risico.

Zou je GoldDigger toch installeren dan kan er via de camera van je iPhone een scan worden gemaakt van je gezicht. Dit wordt vervolgens door de hackers gebruikt om een deepfake van je gezicht te maken, dus een door AI gegenereerde kopie van je gezicht. Maar daarmee kunnen ze nog niet meteen je bankrekening plunderen.

Want alle bank-apps gebruiken gewoon Apple’s Face ID, en dat maakt gebruik van dieptedata, en deepfake op een scherm zal dus niet in staat zijn om Face ID om de tuin te leiden. Verder is alle Face ID-data op een beveiligde chip opgeslagen, (de Enclave) en de data van je gezicht wordt nooit met je bank gedeeld. Je iPhone laat alleen aan de app weten of je gezicht overeen komt met de data in de Secure Enclave (of niet). Daar heeft GoldDigger dus helemaal niets aan.



Altijd blijven opletten

Je hoeft je dus geen zorgen te maken en gewoon Face ID blijven gebruiken voor je bankzaken op je iPhone. Maar GoldDigger laat zien dat goed blijven opletten natuurlijk altijd belangrijk blijft. Dus als je een mailtje of pop-up van je bank of van de overheid krijgt, zelf contact opnemen en niet op links klikken. En al helemaal nooit zomaar apps of profielen installeren, ook al lijken ze van een officiële instantie te komen. Dit sort dingen gewoon altijd via de App Store doen, dan houd je jouw iPhone gewoon veilig.



#FaceID #iPhone

DIT is een nieuwe truck:

Er stond inderdaad een k teveel in het artikel, bij deze aangepast.   

Telegraaf is de voorloper van X. Waarbij Musk de weg van de Telegraaf dusdanig heeft door getrokken dat de kogelwerende cybertruck slechts 1 van de minimale eisen is.

Maar goed, niks mis met touch ID

Ook in het radio1 journaal was gisterochtend een stukje te horen, naar aanleiding van het Telegraaf artikel, waar een "expert" dit compleet verkeerd uitlegt.

https://www.nporadio1.nl/uitzendingen/nos-radio-1-journaal/fa12c707-cf65-4fb8-bd18-dd07a63c9f8c/2024-04-08-nos-radio-1-journaal

op 2u34m30s. Het legt nog wel uit dat face ID veilig is maar het gebruik van face ID in de bank app is dan weer niet veilig... Dat klopt dus niet.

Net beluisterd, begint op 2:34:30.

En volgens mij weet die expert wel waar die het over heeft, hij houdt dan ook heel voorzichtig een heleboel slagen om de arm in zinnen als “dan zal op een gegeven moment de techniek goed genoeg zijn om je gezicht te klonen”.

Met andere woorden, nu nog niets aan de hand, en ik sluit me helemaal aan bij zijn oproep aan banken om dit goed in de gaten te houden.

Ik had misschien iets genuanceerder moeten zijn maar de expert zegt wel degelijk dat FaceID om je telefoon te unlocken niet problematisch is maar dat het gebruik van je gezicht als identificatie als tussenstap in apps iets anders is.

Wanneer de app bouwer gebruik maakt van Face ID dan is dat gewoon niet zo. Het is dezelfde Face ID die gebruikt wordt.

Alle Nederlanse bank apps (die ik ken) gebruiken gewoon FaceID voor het autoriseren van een betalingen en dat is dus dezelfde technologie als voor het unlocken van je telefoon die dus gewoon nog veilig is.

Mocht je Face ID toch niet vertrouwen dan hoef je Face ID natuurlijk niet te gebruiken.

En natuurlijk moet je altijd monitoren of je beveiligingsmaatregelen nog afdoende zijn, dat lijkt me evident.

Daar komt bij dat Golddigger een Android Trojan is. Die heeft a) dus niets van doen met iOS en b) ongevaarlijk voor iphone gebruikers. In hoeverre Android makkelijker te misleiden is dan iOS, aan die vergelijking waag ik me niet. Dus of er ook ooit zo'n trojan komt voor iOS zou dus kunnen, maar lijkt me vooralsnog vrij onwaarschijnlijk.

Tja, die expert zegt het zo omzichtig dat je hem eigenlijk nergens op kan betrappen. Maar ben het verder helemaal met Ezz eens, of Face ID is oké, of niet. Anders is het van twee walletjes eten.

@Night: als je doorklikt dan kom bij mijn stukje over GoldDigger, inclusief de naam van de versie voor iOS (dat is GoldPickaxe).