Beveiligingssoftware: je smartphone weet hoe je wandelt

Vergeet vingerafdrukken en iris-herkenning. Met het oog op een betere beveiliging registreert je smartphone tegenwoordig of je snel dan wel traag sms’t en hoe laat je in bed kruipt.

Identiteitsdiefstal is de meest voorkomende vorm van online fraude. Daarom vinden online winkels het zo belangrijk om te weten of ze met echte klanten te maken hebben, dan wel met hackers die hen imiteren. Wachtwoorden spelen daarbij een belangrijke rol, maar die kunnen gestolen worden. Nieuwe smartphones, tablets en computers zijn beter beveiligd met vingerafdruk- en gezichtsherkenningssoftware, maar ook die kunnen omzeild worden. De beveiligingssoftware van de volgende generatie zal mensen identificeren aan de hand van parameters die moeilijk vervalst kunnen worden, bijvoorbeeld de manier waarop we wandelen.

Als op een toestel met een toetsenbord plots trager en meer staccato getypt wordt, kan dat erop wijzen dat het toestel is gehackt.

Veel online beveiligingssystemen maken nu al gebruik van het toestelprofiel: de software herkent welk type telefoon of computer je gebruikt, welk systeem daarop draait en welke apps je hebt gedownload. Daarnaast weet de software ook op welke wifi-netwerken je vaak inlogt en welke koptelefoons je inplugt. Met al die gegevens wordt een profiel van het toestel gemaakt. Als er vervolgens ongebruikelijke activiteiten worden gedetecteerd – een bank die vaststelt dat er via een telefoon met een ander profiel dan die van de rekeninghouder betalingen worden verricht – kan er worden ingegrepen. Bijvoorbeeld door bijkomende beveiligingsvragen te stellen.

Het Amerikaanse bedrijf LexisNexis Risk Solutions heeft op die manier voor banken en andere cliënten een catalogus samengesteld van meer dan vier miljard telefoons, tablets en computers. Ongeveer zeven procent van die toestellen werd op malafide wijze gebruikt. Maar beveiliging louter aan de hand van toestelprofielen dreigt zijn nut te verliezen. Om te verhinderen dat de persoonlijke informatie van hun klanten in handen valt van derde partijen, leggen techgiganten als Apple en Google steeds meer beperkingen op aan welke data gemijnd kunnen worden. Door die privacyoverwegingen wordt het moeilijker om te weten of een toestel door zijn rechtmatige eigenaar wordt gebruikt of door een hacker.

Ritme van je heupen

Daarom maakt nu een nieuwe aanpak opgang: de biometrische gedragsanalyse. Daarmee worden gebruikers geïdentificeerd aan de hand van de massa gegevens die onze digitale toestellen over ons verzamelen. Zo kunnen versnellingsmeters en interne kompassen aantonen hoe we onze smartphone vasthouden als we telefoneren, hoe we die meenemen en zelfs op welke manier we wandelen. Via touchscreens, toetsenborden en computermuizen kan de manier waarop we onze handen en vingers bewegen geregistreerd worden. En wie wil weten wanneer de eigenaar van een smartphone gaat slapen, kan gebruik maken van de interne sensoren die detecteren of de telefoon op een harde dan wel zachte ondergrond ligt. Software die al die kenmerken verzamelt en analyseert, kan vaststellen of een toestel gebruikt wordt door zijn eigenaar.

De software weet hoe groot je stappen zijn, hoeveel je er per minuut zet en in welk ritme je heupen bewegen.

‘Met biometrische gedragsanalyse kun je een vingerafdruk maken van hoe elk individu zich beweegt’, zegt John Whaley. Hij staat aan het hoofd van UnifyID, een bedrijf uit Silicon Valley dat zich in gedragsbiometrie specialiseert. Met de juiste software is veel mogelijk: dankzij de telefoonsensoren kan worden gemeten met welk deel van je voet je het eerst de grond raakt en hoe hard. De software weet hoe groot je stappen zijn, hoeveel je er per minuut zet en in welk ritme je heupen bewegen. UnifyID kan zelfs achterhalen of je je telefoon in de hand houdt, of dat die in je broekzak of handtas zit.

Met die variabelen heeft UnifyID ongeveer 50.000 wandelpatronen gecatalogiseerd. Als die informatie gekoppeld wordt aan hoe snel je typt, hoeveel druk je met je vingertoppen uitoefent en waar je je bevindt – wat door de gps in je gsm makkelijk te achterhalen is – kan je identiteit met behoorlijk grote zekerheid vastgesteld worden, claimt Whaley. Sinds 2017 biedt UnifyID biometrische gedragsanalyse aan zijn klanten aan. Daarbij zitten grootbanken, onlinewinkels en pakjes- en taxidiensten. Op dit moment heeft het bedrijf nog geen plannen om die informatie te verkopen aan adverteerders, zegt Whaley. Maar hij denkt dat adverteerders daar op termijn wel voor zullen betalen, omdat ze zo de lifestyle van hun klanten beter kunnen begrijpen.

Tikken met de duimen

Met biometrische gedragsanalyse kun je niet alleen de identiteit van een gebruiker vaststellen, maar ook omstandigheden herkennen waarin wellicht fraude wordt gepleegd. Als op een toestel met een toetsenbord plots trager en meer staccato getypt wordt, kan dat erop wijzen dat het toestel gehackt is. Waarschijnlijk, zegt Aleksander Kijek van het Poolse bedrijf Nethone dat biometrische gedragsanalyse ontwikkelt voor onlinewinkels, wordt de laptop dan van een afstand bestuurd door een computer, en niet door een mens.

Voor smartphones en tablets geldt het omgekeerde. De meeste mensen gebruiken hun duimen om op een touchscreen te typen. Daardoor hebben ze net iets meer tijd nodig om van de ene letter naar de volgende te raken. Als dat plots veel sneller gebeurt, wordt het toestel vermoedelijk bestuurd door een hacker die op een gewoon toetsenbord werkt.

Als biometrische gedragsanalyse verstandig gebruikt wordt, kan dat ons leven veel eenvoudiger maken. Dat vindt Neil Costigan, de topman van BehavioSec, een bedrijf uit San Francisco dat gedragsbiometrie ontwikkelt. Costigan zegt dat de software rustig op de achtergrond kan draaien, terwijl hij permanent de identiteit van de gebruiker bevestigt. Zo verliezen we geen tijd meer met het intypen van wachtwoorden of ‘andere onzin’, zoals de meisjesnaam van onze moeder. De mogelijke toepassingen zijn nagenoeg onbeperkt: UnifyID is met een nog onbekende autoconstructeur een systeem aan het ontwikkelen dat automatisch de autodeuren ontgrendelt zodra de bestuurder in de buurt komt. Dat zal de auto weten doordat de smartphone van de bestuurder hem identificeert aan de hand van zijn unieke wandelpatroon.

Natuurlijk vrezen privacyadvocaten dat biometrische gedragsanalyse een enorm gevaar vormt. Wildvreemden kunnen zowat alles over ons te weten komen, van wanneer we ’s ochtends voor de eerste keer onze telefoon vastnemen, tot wanneer we hem ’s avonds op ons nachtkastje wegleggen.