Специалисты по безопасности обманули сканер радужки глаза в Samsung Galaxy S8 с помощью фотографии и линзы
Участники немецкого сообщества в сфере защиты данных Chaos Computer Clubs опубликовали инструкцию по обходу сканера радужки глаза в смартфоне Samsung Galaxy s8.
Вообще ни о чём. У настоящих мошенников откуда возьмётся фотография радужки глаза владельца в отличном качестве?
Пару гипотетических ситуаций.
Вы крутой менеджер и обладаете важной информацией. Чтобы вы ввели пин надо или просто постоять недалеко, но не все открыто его набирают. Или сломать человеку пару пальцев - терморектальный криптоанализ ещё никто не отменял. А сейчас достаточно под надуманным предлогом сделать с человеком сэлфи или "случайно" сделать фото в его сторону, находясь рядом. Вряд ли многих сейчас смущают люди, фотографирующие на телефон все вокруг и рядом.
Зайти в инстач этого человека и взять фоточки где более менее видно глазище.
Я все понимаю, планы продаж, капитализация, доля рынка. Но печально, что за продукт больше отвечают уже маркетологи, а не инженеры. Вместо быстрого тяп-ляпа, абы фича была, могли же сделать анализ диаметра зрачка с кратковременной вспышкой экраном для проявления реакции реального глаза на изменение освещения. Даже не надо бить в глаза светом ярким для этого. Или хотя бы чтобы человек проследил взглядом за перемещающимся объектом по экрану. А так их взломали самым простым подходом - фото глаза и имитация объёмности. Мдя...
Тогда были б видосы, как сняли радужку и добавили эмуляцию реакции зрачка, а потом с помощью линзы легко обошли защиту. Надо было пинкод выбирать. /s
И да, я понимаю, что полностью безопасная технология реально мало кому нужна, а как фича создаёт продажи. Но как человеку технологического профиля - грустно.
Кстати, а у самсунга по одному глазу или по двум?
Уже увидел, что по одному, что странно.
Да, выше уже упоминали про Windows Hello. Но. Насколько я знаю, ещё не было прецедентов "взлома" данной системы аутентификации. Даже какой-то английский банк (не помню какой, но не маленький), подписал соглашение об удалённой идентификации пользователей при помощи хелло.
Вывод: Система аутентификации от Самсунга не так хороша? Или вышеизложенным способом не проверяли мелкомягких?