Nedávno představený Samsung Galaxy S8 je jeden z prvních smartphonů vybavený čtečkou oční duhovky, jakožto prostředkem pro autentizaci uživatele. Po boku funkce rozpoznání obličeje a snímače otisků prstů se mělo jednat o vůbec nejbezpečnější autentizační metodu v telefonu. Experti z CCC (Chaos Computer Club) ale nyní dokázali, že na bezpečnosti skeneru budou muset inženýři v Samsungu ještě zapracovat, protože se jim ho podařilo prolomit.
Hackerům přitom stačilo poměrně obyčejné vybavení: fotografie majitele telefonu, počítač, tiskárna, papír a kontaktní čočka. Fotografie byla pořízena s aktivovaným infračerveným filtrem a samozřejmě bylo potřeba, aby na ní měla osoba otevřené oči (nebo minimálně jedno). Následně už jen stačilo vytisknout fotografii oka na laserové tiskárně, přiložit na fotografii v místě duhovky kontaktní čočku a bylo hotovo. Čtečka ani nijak dlouho neváhala a během vteřiny odemkla telefon.
Opět se tak potvrzuje, že tím nejbezpečnějším je stále staré dobré heslo, které vám z hlavy nemůže nikdo ukrást, tedy pokud nepočítáme sociální inženýrství, a hlavně může být kdykoli obměněno, což se o částech těla sloužících k biometrické autentizaci říct nedá. Snímač otisků prstů je možné ošálit už řadu let a ihned po premiéře Galaxy S8 jsme se overbevist, že stačí obyčejná fotografie, aby se nám někdo dostal do telefonu skrze funkci rozpoznání obličeje.
Oppdatert o vyjádření Samsung Electronics Czech and Slovak:
"Vi er klar over den rapporterte saken, men vi vil gjerne forsikre kundene om at irisskanningsteknologien som brukes i telefonene Galaxy S8, gjennomgikk grundig testing under utviklingen for å oppnå høy gjenkjenningsnøyaktighet og dermed unngå forsøk på å bryte gjennom sikkerheten, f.eks. ved hjelp av et overført irisbilde.
Det varsleren hevder ville bare være mulig under et svært sjeldent sammenløp av omstendigheter. Det ville kreve en svært usannsynlig situasjon der en smarttelefoneier sitt høyoppløselige bilde av iris, kontaktlinsen deres og selve smarttelefonen ville være i feil hender, alt på samme tid. Vi gjorde et internt forsøk på å rekonstruere en slik situasjon under slike omstendigheter, og det viste seg å være svært vanskelig å gjenskape resultatet beskrevet i kunngjøringen.
Men hvis det er en hypotetisk mulighet for et sikkerhetsbrudd eller en ny metode er i horisonten som kan kompromittere vår innsats for å opprettholde stram sikkerhet døgnet rundt, vil vi ta opp saken umiddelbart.»
