Нещодавно представлений Samsung Galaxy S8 є одним із перших смартфонів, оснащених зчитувачем райдужної оболонки ока як засобом аутентифікації користувача. Окрім розпізнавання обличчя та датчика відбитків пальців, це мав бути найбезпечніший метод автентифікації на телефоні. Експерти з CCC (Chaos Computer Club), але тепер вони довели, що над безпекою сканера доведеться попрацювати інженерам Samsung, оскільки їм вдалося його зламати.
При цьому хакерам знадобилося відносно звичайне обладнання: фотографія власника телефону, комп'ютер, принтер, папір і контактна лінза. Фотографія була зроблена з активованим інфрачервоним фільтром і, звичайно, людині потрібно було відкрити очі (або хоча б один). Згодом потрібно було лише роздрукувати фотографію ока на лазерному принтері, прикріпити до фотографії контактну лінзу на місці райдужки, і це було зроблено. Читач навіть не вагався і за секунду розблокував телефон.
Це ще раз підтверджує, що найбезпечнішим залишається старий добрий пароль, який ніхто не зможе вкрасти у вас з голови, тобто, якщо не рахувати соціальної інженерії, і, перш за все, його можна змінити в будь-який час, чого не можна сказав про частини тіла, які використовуються для біометричної автентифікації. Дактилоскопічний датчик можна обдурити протягом багатьох років і відразу після прем'єри Galaxy S8 ми переконаний, що простого фото достатньо, щоб хтось потрапив у наш телефон через функцію розпізнавання обличчя.
Оновлено про заяву чеської та словацької компанії Samsung Electronics:
«Ми знаємо про зареєстрований випадок, але хотіли б запевнити клієнтів, що технологія сканування райдужної оболонки ока, яка використовується в телефонах Galaxy S8 пройшов ретельне тестування під час розробки, щоб досягти високої точності розпізнавання та, таким чином, уникнути спроб зламу безпеки, наприклад, за допомогою переданого зображення райдужної оболонки ока.
Те, що стверджує викривач, було б можливим лише за дуже рідкісного збігу обставин. Для цього знадобиться дуже малоймовірна ситуація, коли зображення райдужної оболонки ока власника смартфона з високою роздільною здатністю, його контактна лінза та сам смартфон опинилися б одночасно в чужих руках. Ми зробили внутрішню спробу реконструювати таку ситуацію за таких обставин, і виявилося дуже важко відтворити результат, описаний в повідомленні.
Однак, якщо існує гіпотетична можливість порушення безпеки або на горизонті з’являється новий метод, який може поставити під загрозу наші зусилля щодо цілодобової підтримки суворої безпеки, ми негайно вирішимо це питання».
