reklama

Biometryczny czytnik Samsunga Galaxy S5 pokonany, konsekwencje ataku gorsze niż w iPhonie 5S

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Gdy Apple wprowadziło do iPhone'a 5S czytnik linii papilarnych, wiele grup hakerskich zaczęło natychmiast szukać metod na efektywne obejście tego mechanizmu uwierzytelnienia – i nie bez sukcesów. Implementacja zabezpieczenia w telefonie z Cupertino okazuje się jednak znacznie bardziej przemyślana, niż to, co zrobił Samsung w swoim telefonie Galaxy S5, którego czytnik linii papilarnych został z łatwością rozbrojony.

Podobnie jak w wypadku ataków wymierzonych w iPhone'a 5S, atak wymierzony we flagowy smartfon Samsunga wiąże się ze zdjęciem odcisku palca z urządzenia. Zrobiona z jego pomocą klejowa replika powierzchni palca bez problemu pozwala oszukać skaner. Na tym jednak nie koniec. Ben Schlabs z Security Research Labs, który jako pierwszy zademonstrował atak na Galaxy S5, zauważył, że atak pozwala na znacznie więcej, niż w wypadku iPhone'a.

Wykorzystywany w smartfonie Apple'a system Touch ID zmusza bowiem użytkowników po każdorazowym uruchomieniu urządzenia do jednorazowego podania hasła przed wykorzystaniem odcisku palca jako metody uwierzytelnienia. W smartfonie Samsunga nie ma takiego zabezpieczenia, po restarcie Galaxy S5 możemy się uwierzytelnić za pomocą samego odcisku palca.

Co gorsze, w ten sam sposób można uwierzytelnić się w niektórych aplikacjach, w tym pozwalających na płatności elektroniczne. Schlabs zademonstrował, jak fałszywym palcem uzyskuje dostęp do aplikacji PayPala i przelewa za jej pomocą pieniądze. Reakcja operatora systemu płatności była dość zastanawiająca – z jednej strony rzecznik PayPala przyznał, że to poważne odkrycie, z drugiej jednak stwierdził, że uwierzytelnienie odciskiem palca na urządzeniach mobilnych jest bezpieczniejsze i wygodniejsze niż hasła czy numery kart kredytowych. Podkreślił zarazem, że stosowane narzędzia zapobiegania oszustwom mogą ochronić ofiary kradzieży telefonu, a jeśli by im się to nie udało, to operator pokryje straty.

Odkrycia tego typu nie oznaczają oczywiście, że biometryczne zabezpieczenia w ogóle są bez sensu. Muszą one jednak być rozpatrywane jako element szerszej strategii bezpieczeństwa, powiązany z innymi mechanizmami. Sama bowiem ewolucja i ulepszenia skanerów postępuje jedynie w takim tempie, w jakim rozwijają się narzędzia do ich oszukiwania. Nadmierna czułość, wrażliwość na zakłócenia tych mechanizmów nie jest bowiem pożądana – muszą one przecież działać z realnym, niekoniecznie czystymi palcami użytkowników, w warunkach zwykle odbiegających od laboratoryjnych.

© dobreprogramy
reklama

Komentarze

reklama
Polecamy w WP TechnologieWP TechnologieNie wiemy, co jemy - państwowe badania to kropla w morzu. Projekt FoodRentgen chce to zmienić