Zdjęcie oka, drukarka i soczewka kontaktowa. Tylko tego potrzebujesz do odblokowania cudzego Galaxy S8

Zdjęcie oka, drukarka i soczewka kontaktowa. Tylko tego potrzebujesz do odblokowania cudzego Galaxy S8

Zdjęcie oka, drukarka i soczewka kontaktowa. Tylko tego potrzebujesz do odblokowania cudzego Galaxy S8

Posiadacze Samsungów Galaxy S8 mogą mieć problem z bezpieczeństwem swoich danych. Okazuje się, że do oszukania skanera tęczówki oka w sztandarowym smartfonie Samsunga wystarczy zdjęcie jego użytkownika, kartka papieru oraz soczewka kontaktowa.

Żeby była jasność, nie piszę tu o funkcji rozpoznawania twarzy, którą udało się ominąć za pomocą wydrukowanego zdjęcia użytkownika urządzenia. Była to jednak wyjątkowo rozdmuchana sprawa. Samsung od samego początku mówił, że Galaxy S8 jest wyposażony w wiele różnego rodzaju zabezpieczeń biometrycznych, a rozpoznawanie twarzy jest najszybciej działającym i najmniej skutecznym z nich. Osobom szczególnie dbającym o swoje bezpieczeństwo Koreańczycy proponowali korzystanie z czytnika linii papilarnych lub skanera tęczówki oka.

Teraz okazało się, że możliwe jest oszukanie także ostatniego wymienionego zabezpieczenia.

Co więcej, można to zrobić w stosunkowo łatwy sposób. Wystarczy wydrukować zdjęcie oka użytkownika, nałożyć na nie soczewkę i podstawić pod czytnik tęczówki Samsunga Galaxy S8. Okazuje się, że po użyciu tak spreparowanej fotografii telefon uważa, że znajduje się przed nim prawdziwy użytkownik, po czym się odblokowuje.

Właśnie w ten sposób zabezpieczenia Samsunga złamali hakerzy z Chaos Computer Group. Musieli jednak spełnić kilka warunków. Po pierwsze zdjęcie należało wykonać dobrym aparatem. Po drugie, trzeba było w nim wyłączyć filtr podczerwieni. Tylko wtedy na zdjęciu są rejestrowane bardzo drobne szczegóły niezbędne do identyfikacji tęczówki. Zdjęcie należało wydrukować na wysokiej jakości drukarce laserowej. Ciekawostka: tutaj najlepiej poradziła sobie drukarka… Samsunga. Potem na zdjęcie należy położyć soczewkę kontaktową, która zasymuluję krzywiznę oka. Sprawę oficjalnie skomentował Olaf Krynicki, rzecznik Samsung Polska, w rozmowie z serwisem Telepolis:

Jesteśmy świadomi doniesień medialnych, ale pragniemy zapewnić naszych klientów, że skaner tęczówki w Galaxy S8 przeszedł wnikliwe testy, by zapewnić jego precyzję oraz odporność na próby złamania zabezpieczeń, także przy pomocy zdjęć tęczówki użytkownika.

Prezentowana metoda mogła zostać wykorzystana wyłącznie w wyjątkowo niezwykłych okolicznościach. Wymaga bowiem posiadania w tym samym czasie zdjęcia tęczówki użytkownika w wysokiej rozdzielczości wykonanego aparatem IR, szkieł kontaktowych oraz telefonu użytkownika. Wewnętrzne testy, które przeprowadziliśmy wskazują, że skuteczne powtórzenie ataku jest bardzo trudne.

Mimo to, w przypadku wykrycia jakiejkolwiek potencjalnej metody złamania naszych zabezpieczeń, niezwłocznie podejmiemy działania zapobiegające naruszeniom bezpieczeństwa – przekazał Olaf Krynicki, rzecznik prasowy Samsung Electronics Polska.

Powtórzenie takiego ataku może rzeczywiście być trudne w rzeczywistych warunkach. By go przeprowadzić, trzeba być wyposażonym w odpowiedni sprzęt. Atakujący musi dysponować dobrym aparatem z obiektywem 200 mm. Dopiero wtedy może zrobić zdjęcie wystarczające do odblokowania telefonu z rozsądnej odległości 5 metrów. Fotografia oczywiście musi być bardzo dokładna i nierozmazana, więc fotograf musi uchwycić swój cel w nieruchomej pozycji, w której dokładnie widać jego oczy. Może to być bardzo trudne, jednak jako że przez cały czas eksponujemy nasze oczy, każdego dnia nadarza się mnóstwo sytuacji, w których można wykraść materiał niezbędny do odblokowania telefonu.

Pamiętajmy jednak, że większości z nas  podobny atak nie grozi. W końcu kogo interesują SMS-y i zdjęcia takiej osoby jak ja? Zagrożeni mogą być co najwyżej celebryci, których wysokiej jakości zdjęcia pojawiają się masowo w sieci. Czy Paparazzi mogliby współpracować ze złodziejami telefonów w celu zdobycia gorącego materiału? Naprawdę, po tym co wyrabiają nasze lokalne tabloidy, jestem w stanie w to uwierzyć.

Oczywiście można powiedzieć, że osoby czujące się zagrożone tego typu atakami mogą skorzystać z trzeciego zagrożenia biometrycznego, a mianowicie znajdującego się z tyłu urządzenia czytnika linii papilarnych. Ten jest jednak umieszczony nie pod aparatem, a obok niego. Z tego powodu  trafienie w niego palcem jest wyjątkowo niewygodne. Z kolei w przypadku Samsunga Galaxy S8 Plus czytnik jest umieszczony na tyle wysoko, że znaczna część użytkowników może mieć problem z dosięgnięciem go. Ewentualnie przy próbie korzystania z niego brudzi szkiełko aparatu.

W Galaxy S8 mamy zatem trzy zabezpieczenia biometryczne, spośród których dwa da się oszukać domowymi sposobami.

Trzecie z kolei jest dość niewygodne w użyciu. W takiej sytuacji można dojść do wniosku, że najlepszym sposobem na zabezpieczenie smartfonu będzie użycie jednego z klasycznych rozwiązań, na przykład kodu PIN, wzoru lub hasła wpisywanego na ekranie. Jeżeli na Samsungu Galaxy S8 trzymamy naprawdę newralgiczne dane, warto poważnie rozważyć tę opcję. Przynajmniej do czasu, aż Koreańczycy wprowadzą poprawkę oprogramowania. A ta według Samsunga, powinna pojawić się już niebawem. Dlatego osoby potencjalnie narażone na atak nie powinny panikować. Wystarczy, że cierpliwie poczekają na odpowiednią łatkę, a następnie ją zainstalują.

Dołącz do dyskusji

Advertisement