Den franske cybersikkerhetsmyndigheten ANSSI anbefaler at mobilbrukere slutter å bruke biometrisk opplåsing som fingeravtrykk og ansiktsgjenkjenning.
I stedet bør telefonen sikres med en sekssifret kode, ifølge en fersk rapport.
Den franske statlige cybersikkerhetsmyndigheten ANSSI advarer mot bruk av biometrisk autentisering på smarttelefoner. I en ny rapport peker myndigheten på at både fingeravtrykk og ansiktsgjenkjenning kan utnyttes dersom en angriper får fysisk tilgang til enheten.
Anbefalingen kommer i rapporten Mobile Phones: Threat Landscape Since 2015, som gjennomgår trusler mot vanlige mobiltelefoner og hvordan brukere kan beskytte seg bedre.
Ber brukere velge kode fremfor biometri
I rapporten råder ANSSI brukere til å låse mobilen med en sterk kode, fremfor biometriske løsninger. Under anbefalingene heter det at opplåsingskoden bør bestå av seks tegn.
Senere i teksten presiserer myndigheten hvorfor biometriske løsninger bør unngås.
– Det anbefales også å unngå biometrisk autentisering, som ansiktsgjenkjenning og fingeravtrykk, for å hindre at en mobiltelefon kan låses opp uten at passordet er kjent, skriver ANSSI.
Ifølge rapporten er dette særlig relevant i situasjoner der en angriper får fysisk tilgang til telefonen, for eksempel under avhør, beslag eller andre tvangssituasjoner.
Fysisk tilgang gir nye angrep
Rapporten på 42 sider kartlegger trusler mot mobiltelefoner siden 2015. Den ser blant annet på avlytting, datamanipulering og angrep via mobilnett, Wi-Fi, Bluetooth, NFC og USB.
Les også: Thales: Europas nye digitale grenser skal være raskere, sikrere – og bygge tillit
En egen del handler om angrep som forutsetter fysisk tilgang til enheten. Her beskrives flere metoder, blant annet bruk av spionprogramvare.
ANSSI viser til et tilfelle der skadevaren NoviSpy kan ha blitt brukt mot serbiske aktivister under avhør på politistasjoner. I disse tilfellene kan opplåsingskoder ha blitt fanget opp ved at ofrene ble observert mens de tastet dem inn.
Selv om eksempelet gjelder koder, mener ANSSI at biometriske løsninger i slike situasjoner kan være enda mer sårbare, fordi brukeren kan tvinges til å låse opp telefonen uten å avsløre en kode.
Flere råd for å beskytte mobilen
I tillegg til å anbefale kode fremfor biometri, gir ANSSI flere råd for å beskytte mobilen mot fysiske angrep.
– Brukere bør unngå å koble telefonen til ukjente enheter, benytte en pålitelig USB-datablokker og slå av telefonen når den etterlates uten tilsyn, heter det i rapporten.
Myndigheten understreker at rådene særlig gjelder personer som kan være utsatt for målrettede angrep.
Går mot strømmen i teknologibransjen
ANSSIs anbefalinger bryter med utviklingen i teknologibransjen, der mange selskaper nå ønsker å erstatte passord med biometriske løsninger og såkalte passkeys for å redusere risikoen for nettfisking.
Likevel mener den franske sikkerhetsmyndigheten at brukere selv må vurdere risikoen.
– Enkeltpersoner anbefales på det sterkeste å lese og ta hensyn til rådene dersom de kjenner seg igjen i noen av situasjonene som beskrives, skriver ANSSI.
Rapporten viser dermed et tydelig skille mellom bekvemmelighet og sikkerhet – og antyder at biometrisk opplåsing ikke alltid er det tryggeste valget.
