Skaner tęczówki w Galaxy S8 złamany zdjęciem i soczewką kontaktową
Słysząc o wielu sposobach zabezpieczenia Samsunga Galaxy S8, możemy błędnie założyć, że mamy do czynienia z jednym z najbezpieczniejszych smartfonów na rynku. Tak nie jest. Przeciwnie – dodatkowe zabezpieczenia wykorzystujące biometrię, zapewniają nowe drogi ataku i to drogi, których pokonanie nie stanowi wyzwania.
Przypomnijmy, że po koniec marca okazało się, że można łatwo oszukać zabezpieczenie przez rozpoznawanie twarzy. Niekoniecznie musimy patrzeć na smartfon, by ten się odblokował, zapewniając dostęp do prywatnych danych. Wystarczy, że napastnik będzie miał zdjęcie właściciela. Może nawet odblokować smartfon wyświetlając zdjęcie profilowe z Facebooka na ekranie swojego smartfona. Rozpoznawanie twarzy, w założeniach wygodna i nowoczesna metoda ochrony, okazuje się więc być otwartą furtką dla potencjalnego złodzieja prywatnych danych.
Co gorsza, nie tylko rozpoznawanie twarzy zawodzi. Kolejnym elementem, mogącym zapewnić łatwiejszy dostęp do naszych danych, okazuje się być skaner tęczówki. Hakerzy z Chaos Computer Club zademonstrowali, że biometrię Galaxy S8 łatwo oszukamy na więcej sposobów.
Zanim przyjrzymy się osiągnięciu hakerów z Chaos Computer Club, skupmy się na skanerze tęczówki. Ta metoda zabezpieczenia w teorii jest bezpieczniejsza od dwóch pozostałych dostępnych w S8, czyli czytnika linii papilarnych i rozpoznawania twarzy. Rozpoznaje ona wzorce tęczówki, które są różne u każdego człowieka. Podobnie jest z liniami papilarnymi, ale zdobycie odcisku palca wydaje się łatwiejsze. Ponadto, niektórzy zaczynają kwestionować wyjątkowość linii papilarnych, twierdząc, że niepowtarzalne wzorce dostarczy tylko tęczówka.
Po przeczytaniu powyższego akapitu, można dojść do wniosku, że skaner tęczówki jest najlepszą metodą zabezpieczania biometrycznego. Możliwe, że właśnie tak pomyślał Samsung, umożliwiając potwierdzenie płatności w ten sposób. Jednak i ten skaner można oszukać, co udowodnili specjaliści do spraw bezpieczeństwa i wspomniana wcześniej grupa hakerów z Chaos Computer Club. Wykorzystali oni do tego dobry cyfrowy aparat, drukarkę i soczewki kontaktowe.
Do zdobycia wzoru tęczówki posłużył dobry aparat cyfrowy. W celu przechwycenia musi on pracować w trybie nocnym lub mieć usunięty filtr podczerwieni (co w wielu modelach można zrobić samodzielnie). Ponadto, zależnie od jakości obrazu, może być koniecznie odpowiednie ustawienie jasności i kontrastu. Jeśli wszystkie niezbędne wzorce zostaną poprawnie przechwycone, to zdjęcie drukowane jest na drukarce laserowej i by odwzorować zbliżone do kuli oko, wydruk umieszczany jest pod normalną soczewką kontaktową.
Chaos Computer Club zaleca więc porzucenie biometrycznych zabezpieczeń i korzystanie ze starego, dobrego PIN-u. Zanim jednak powrócicie do kodu PIN, zwrócicie uwagę, że zdobycie wzorców tęczówki odbyło się w ściśle określonych warunkach, trudnych do odtworzenia w codziennym życiu.
Z drugiej strony, hakerzy w pewnej kwestii mają rację – najlepszą i najbezpieczniejszą metodą blokady w Galaxy S8 pozostaje PIN.
