Nedávno představený Samsung Galaxy S8 je jeden z prvních smartphonů vybavený čtečkou oční duhovky, jakožto prostředkem pro autentizaci uživatele. Po boku funkce rozpoznání obličeje a snímače otisků prstů se mělo jednat o vůbec nejbezpečnější autentizační metodu v telefonu. Experti z CCC (Chaos Computer Club) ale nyní dokázali, že na bezpečnosti skeneru budou muset inženýři v Samsungu ještě zapracovat, protože se jim ho podařilo prolomit.
Hackerům přitom stačilo poměrně obyčejné vybavení: fotografie majitele telefonu, počítač, tiskárna, papír a kontaktní čočka. Fotografie byla pořízena s aktivovaným infračerveným filtrem a samozřejmě bylo potřeba, aby na ní měla osoba otevřené oči (nebo minimálně jedno). Následně už jen stačilo vytisknout fotografii oka na laserové tiskárně, přiložit na fotografii v místě duhovky kontaktní čočku a bylo hotovo. Čtečka ani nijak dlouho neváhala a během vteřiny odemkla telefon.
Opět se tak potvrzuje, že tím nejbezpečnějším je stále staré dobré heslo, které vám z hlavy nemůže nikdo ukrást, tedy pokud nepočítáme sociální inženýrství, a hlavně může být kdykoli obměněno, což se o částech těla sloužících k biometrické autentizaci říct nedá. Snímač otisků prstů je možné ošálit už řadu let a ihned po premiéře Galaxy S8 jsme se convencido, že stačí obyčejná fotografie, aby se nám někdo dostal do telefonu skrze funkci rozpoznání obličeje.
Atualizada o vyjádření Samsung Electronics Czech and Slovak:
"Estamos cientes do caso relatado, mas gostaríamos de tranquilizar os clientes de que a tecnologia de digitalização da íris usada nos telefones Galaxy O S8 foi submetido a testes exaustivos durante o seu desenvolvimento, a fim de alcançar uma elevada precisão de reconhecimento e, assim, evitar tentativas de violação da segurança, por exemplo, utilizando uma imagem de íris transferida.
O que o denunciante afirma só seria possível numa raríssima confluência de circunstâncias. Seria necessária uma situação muito improvável em que a imagem de alta resolução da íris do proprietário de um smartphone, suas lentes de contato e o próprio smartphone estivessem em mãos erradas, tudo ao mesmo tempo. Fizemos uma tentativa interna de reconstruir tal situação sob tais circunstâncias e revelou-se muito difícil replicar o resultado descrito no anúncio.
No entanto, se houver uma possibilidade hipotética de uma violação de segurança ou se surgir um novo método que possa comprometer os nossos esforços para manter uma segurança rigorosa 24 horas por dia, resolveremos o assunto imediatamente.”
