Однак флагмани Samsung комплектуються відразу декількома біометричними системами: сканером відбитків пальців, системою розпізнавання райдужної оболонки ока і системою розпізнавання осіб. Здавалося б, сканери відбитків і райдужної оболонки повинні бути надійніше? По всій видимості, немає.
Дослідники Chaos Computer Club (CCC) повідомляють. що їм вдалося обдурити сканер райдужної оболонки ока за допомогою звичайної фотографії, зробленої з середньої дистанції. Так, відомий фахівець Ян «Starbug» Кріссер (Jan Krissler) пише, що досить сфотографувати власника Galaxy S8 таким чином, щоб його очі були видні в кадрі. Потім потрібно роздрукувати отримане фото і продемонструвати його фронтальній камері пристрою.
Єдина складність полягає в тому, що сучасні сканери райдужної оболонки ока (так само як і системи розпізнавання осіб) вміють відрізняти 2D-зображення від реального людського ока або особи в 3D. Але Starbug з легкістю подолав і цю складність: він просто приклеїв контактну лінзу поверх фотографії очі, і цього виявилося достатньо.
Для досягнення найкращого результату фахівець радить робити фото в режимі нічної зйомки, так як це дозволить вловити більше деталей, особливо якщо очі жертви темного кольору. Також Крісслер пише, що роздруковувати фотографії краще на лазерних принтерах компанії Samsung (яка іронія).
«Доброю цифрової камери з лінзою 200 мм буде цілком достатньо, щоб з відстані до п'яти метрів захопити зображення, придатне для обману системи розпізнавання райдужної оболонки ока», - резюмує Крісслер.
Дана атака може виявитися куди небезпечніше, ніж банальний обман системи розпізнавання осіб, адже якщо останню не можна використовувати для підтвердження платежів в Samsung Pay, то райдужну оболонку ока для цього використовувати як раз можна. Знайти якісну фотографію жертви в наші дні явно не складе труднощів, і в підсумку атакуючий зможе не просто розблокувати пристрій та отримати доступ до інформації користувача, але і викрасти кошти з чужого гаманця Samsung Pay.
Фахівці Chaos Computer Club попереджають користувачів, що не варто довіряти біометричних систем захисту надміру і рекомендують застосовувати старі добрі PIN-коди і графічні паролі.
«Компанії відомо про це повідомленні. Samsung запевняє користувачів, що технологія розпізнавання райдужної оболонки ока в Galaxy S8 була розроблена і впроваджена після ретельного тестування, щоб забезпечити високий рівень точності сканування і запобігти спробам несанкціонованого доступу.
Проте, навіть при наявності потенційної уразливості, фахівці компанії докладуть усіх зусиль, щоб в найкоротші терміни забезпечити безпеку конфіденційних і особистих даних користувачів ».
Поділися новиною з друзями: