Специалисты по безопасности обманули сканер радужки глаза в Samsung Galaxy S8 с помощью фотографии и линзы
Участники немецкого сообщества в сфере защиты данных Chaos Computer Clubs опубликовали инструкцию по обходу сканера радужки глаза в смартфоне Samsung Galaxy s8.
Эксперты сфотографировали глаз владельца устройства на камеру с функцией «ночного режима», распечатали снимок и наложили на него контактную линзу для имитации настоящего глаза. Защита S8 восприняла изображение как настоящий глаз и разблокировала смартфон.
В Chaos Computer Clubs предупредили, что при разблокировке устройства с помощью сканера радужки глаза можно получить доступ к платёжному сервису Samsung Pay. «Если вы дорожите своими данными, выбирайте защиту с помощью PIN-кода», — заявили в организации.
Samsung представила смартфоны Galaxy S8 и S8+ в конце марта 2017 года. Кроме сканера радужки глаза телефон можно разблокировать с помощью системы распознавания лиц или сканера отпечатка пальцев. В марте видеоблогер Marcianotech показал, как разблокировать устройство с помощью фотографии своего лица на другом смартфоне.
Обновлено 24 мая. Представители Samsung прокомментировали эксперимент и сказали vc.ru, что подобный обход системы идентификации слишком сложен для воспроизведения в обычных условиях.
Описываемый в упомянутом материале способ может быть реализован только с использованием сложной техники и при совпадении ряда обстоятельств. Нужна фотография сетчатки высокого разрешения, сделанная на ИК-камеру, контактные линзы и сам смартфон. В ходе внутреннего расследования было установлено, что добиться результата при использовании такого метода невероятно сложно.
Тем не менее, даже при наличии потенциальной уязвимости, специалисты компании приложат все усилия, чтобы в кратчайшие сроки обеспечить безопасность конфиденциальных и личных данных пользователей.
Вообще ни о чём. У настоящих мошенников откуда возьмётся фотография радужки глаза владельца в отличном качестве?
Пару гипотетических ситуаций.
Вы крутой менеджер и обладаете важной информацией. Чтобы вы ввели пин надо или просто постоять недалеко, но не все открыто его набирают. Или сломать человеку пару пальцев - терморектальный криптоанализ ещё никто не отменял. А сейчас достаточно под надуманным предлогом сделать с человеком сэлфи или "случайно" сделать фото в его сторону, находясь рядом. Вряд ли многих сейчас смущают люди, фотографирующие на телефон все вокруг и рядом.
Зайти в инстач этого человека и взять фоточки где более менее видно глазище.
Я все понимаю, планы продаж, капитализация, доля рынка. Но печально, что за продукт больше отвечают уже маркетологи, а не инженеры. Вместо быстрого тяп-ляпа, абы фича была, могли же сделать анализ диаметра зрачка с кратковременной вспышкой экраном для проявления реакции реального глаза на изменение освещения. Даже не надо бить в глаза светом ярким для этого. Или хотя бы чтобы человек проследил взглядом за перемещающимся объектом по экрану. А так их взломали самым простым подходом - фото глаза и имитация объёмности. Мдя...