Nedávno představený Samsung Galaxy S8 je jeden z prvních smartphonů vybavený čtečkou oční duhovky, jakožto prostředkem pro autentizaci uživatele. Po boku funkce rozpoznání obličeje a snímače otisků prstů se mělo jednat o vůbec nejbezpečnější autentizační metodu v telefonu. Experti z CCC (Chaos Computer Club) ale nyní dokázali, že na bezpečnosti skeneru budou muset inženýři v Samsungu ještě zapracovat, protože se jim ho podařilo prolomit.
Hackerům přitom stačilo poměrně obyčejné vybavení: fotografie majitele telefonu, počítač, tiskárna, papír a kontaktní čočka. Fotografie byla pořízena s aktivovaným infračerveným filtrem a samozřejmě bylo potřeba, aby na ní měla osoba otevřené oči (nebo minimálně jedno). Následně už jen stačilo vytisknout fotografii oka na laserové tiskárně, přiložit na fotografii v místě duhovky kontaktní čočku a bylo hotovo. Čtečka ani nijak dlouho neváhala a během vteřiny odemkla telefon.
Opět se tak potvrzuje, že tím nejbezpečnějším je stále staré dobré heslo, které vám z hlavy nemůže nikdo ukrást, tedy pokud nepočítáme sociální inženýrství, a hlavně může být kdykoli obměněno, což se o částech těla sloužících k biometrické autentizaci říct nedá. Snímač otisků prstů je možné ošálit už řadu let a ihned po premiéře Galaxy S8 jsme se convençut, že stačí obyčejná fotografie, aby se nám někdo dostal do telefonu skrze funkci rozpoznání obličeje.
Actualitzat o vyjádření Samsung Electronics Czech and Slovak:
"Som conscients del cas denunciat, però ens agradaria assegurar als clients que la tecnologia d'escaneig de l'iris utilitzada en els telèfons Galaxy S8, es va sotmetre a proves exhaustives durant el seu desenvolupament per tal d'aconseguir una alta precisió de reconeixement i així evitar intents de trencar la seguretat, per exemple, utilitzant una imatge d'iris transferida.
El que afirma el denunciant només seria possible sota una confluència de circumstàncies molt rara. Caldria una situació molt improbable en què la imatge d'alta resolució de l'iris, la seva lent de contacte i el propi telèfon intel·ligent del propietari d'un telèfon intel·ligent estiguin a les mans equivocades, tot alhora. Vam fer un intent intern de reconstruir aquesta situació en aquestes circumstàncies, i va resultar molt difícil replicar el resultat descrit a l'anunci.
No obstant això, si hi ha una hipotètica possibilitat d'una violació de seguretat o un nou mètode a l'horitzó que podria comprometre els nostres esforços per mantenir una seguretat estricta durant tot el dia, abordarem el tema amb promptitud".
