Niedawno wprowadzony przez firmę Samsung Galaxy S8 to jeden z pierwszych smartfonów wyposażonych w czytnik tęczówki oka służący do uwierzytelniania użytkownika. Oprócz rozpoznawania twarzy i czujnika odcisków palców miała to być najbezpieczniejsza metoda uwierzytelniania w historii telefonu. Eksperci z CCC (Chaos Computer Club), ale teraz udowodnili, że nad bezpieczeństwem skanera będą musieli popracować inżynierowie Samsunga, bo udało im się go złamać.
Jednocześnie hakerzy potrzebowali stosunkowo zwyczajnego sprzętu: zdjęcia właściciela telefonu, komputera, drukarki, papieru i soczewki kontaktowej. Zdjęcie zostało zrobione przy włączonym filtrze podczerwieni i oczywiście osoba musiała mieć otwarte oczy (lub przynajmniej jedno). Następnie wystarczyło wydrukować zdjęcie oka na drukarce laserowej, założyć do zdjęcia soczewkę kontaktową w miejscu tęczówki i gotowe. Czytelnik nawet się nie wahał i w ciągu sekundy odblokował telefon.
To po raz kolejny potwierdza, że najbezpieczniejsze jest w dalszym ciągu stare, dobre hasło, którego nikt nie ukradnie z głowy, czyli jeśli nie liczymy socjotechniki, a przede wszystkim można je w każdej chwili zmienić, czego nie da się powiedział o częściach ciała używanych do uwierzytelniania biometrycznego. Czytnik linii papilarnych można oszukać przez wiele lat i od razu po premierze Galaxy Jesteśmy S8 przekonany, że wystarczy proste zdjęcie, aby ktoś poprzez funkcję rozpoznawania twarzy mógł dostać się do naszego telefonu.
zaktualizowany o oświadczeniu Samsung Electronics czeskiej i słowackiej:
„Wiemy o zgłoszonym przypadku, ale chcielibyśmy zapewnić klientów, że technologia skanowania tęczówki oka zastosowana w telefonach Galaxy S8, w trakcie swojego rozwoju przeszedł dokładne testy, aby osiągnąć wysoką dokładność rozpoznawania i tym samym uniknąć prób przełamania zabezpieczeń, np. za pomocą przesłanego obrazu tęczówki.
To, co twierdzi sygnalista, byłoby możliwe jedynie w bardzo rzadkim zbiegu okoliczności. Wymagałoby to bardzo mało prawdopodobnej sytuacji, w której wysokiej rozdzielczości obraz tęczówki, soczewki kontaktowej i samego smartfona właściciela smartfona dostałby się jednocześnie w niepowołane ręce. Podjęliśmy wewnętrzną próbę odtworzenia takiej sytuacji w takich okolicznościach i bardzo trudno było odtworzyć wynik opisany w komunikacie.
Jeśli jednak istnieje hipotetyczna możliwość naruszenia bezpieczeństwa lub na horyzoncie pojawi się nowa metoda, która mogłaby zagrozić naszym wysiłkom na rzecz utrzymania ścisłego bezpieczeństwa przez całą dobę, niezwłocznie zajmiemy się tą sprawą”.
