Hackeri prekonali „neprelomiteľné“ zabezpečenie Samsung Galaxy S8

Biometrické údaje ako odtlačok prsta, tvár či v prípade nového Samsungu Galaxy S8 dúhovka sú pre nás jedinečné a nie je ťažké uveriť, že zabezpečenie založené na týchto parametroch je jednoducho neprelomiteľné. Žiaľ, slovo neprelomiteľné hackeri nemajú vo svojej slovnej zásobe.   

Za prelomením Samsungu Galaxy S8 stojí nemecká skupina hackerov Chaos Computer Club (CCC). Systém sa jej podarilo oklamať pomocou bežného fotoaparátu, tlačiarne a kontaktných šošoviek.   

Trik spočíva vo využití nočného módu fotenia. Skener totiž využíva infračervené svetlo na rozpoznanie dúhovky. Bežná fotka by preto nestačila. Následne je fotka vytlačená v životnej veľkosti. Posledné, čo hackerom chýba, je hĺbka. Tú dosiahnu umiestnením bežnej optickej šošovky na fotku oka.   

Samsung takto upravenú fotku rozpozná ako reálne ľudské oko. Prípadný útočník následne poľahky získa kontrolu nad vaším zariadením.

Video s celým postupom si môžete pozrieť tu.

Hackeri z CCC majú s biometrickými bezpečnostnými systémami dlhú skúsenosť. Ich prvým úspechom v tejto oblasti bol Apple TouchID, čo je autorizačný systém založený na odtlačku prsta. V roku 2014 sa im dokonca podarilo z bežnej fotografie vytvoriť funkčný model odtlačku prsta nemeckej ministerky obrany.  

Biometrické údaje tak pravdepodobne ešte dlho nenahradia osvedčenú metódu zabezpečenia, akou je silné heslo. Minimálne dovtedy, kým softvéry využívané pri rozoznávaní týchto údajov nebudú schopné rozlíšiť medzi skutočnosťou a dobre naaranžovanou fikciou.

K problému sa vyjadrila aj samotná spoločnosť Samsung, ktorá nám zaslala svoje stanovisko:

„O nahlásenom prípade vieme, radi by sme však zákazníkov uistili, že technológia snímania očnej dúhovky, použitá v telefónoch Galaxy S8, prechádzala pri svojom vývoji dôkladným testovaním, aby sme dosiahli vysokú presnosť rozpoznávania a zamedzili tak pokusom o prielom zabezpečenia, napr. pomocou preneseného obrazu dúhovky. To, čo reportér tvrdí, by bolo možné iba za veľmi vzácneho súbehu niekoľkých okolností. Vyžadovalo by to veľmi nepravdepodobnú situáciu, kedy by sa v nepovolaných rukách ocitol obraz dúhovky vlastníka smarfónu vytvorený infračervenou kamerou a vo vysokom rozlíšení, ďalej jeho kontaktná šošovka a tiež samotný smartfón – to všetko v rovnaký okamih. Urobili sme interné pokusy o rekonštrukciu takejto situácie za rovnakých okolností a replikovať opísaný výsledok sa ukázalo byť veľmi ťažké. Ak však existuje hypotetická možnosť prielomu zabezpečenia alebo existuje nový spôsob, ktorý by mohol ohroziť naše snahy o nepretržité prísne zabezpečenie, budeme ich okamžite riešiť.”

(PP)