Zdjęcie oka, drukarka i soczewka kontaktowa. Tylko tego potrzebujesz do odblokowania cudzego Galaxy S8

Żeby była jasność, nie piszę tu o funkcji rozpoznawania twarzy, którą udało się ominąć za pomocą wydrukowanego zdjęcia użytkownika urządzenia. Była to jednak wyjątkowo rozdmuchana sprawa. Samsung od samego początku mówił, że Galaxy S8 jest wyposażony w wiele różnego rodzaju zabezpieczeń biometrycznych, a rozpoznawanie twarzy jest najszybciej działającym i najmniej skutecznym z nich. Osobom szczególnie dbającym o swoje bezpieczeństwo Koreańczycy proponowali korzystanie z czytnika linii papilarnych lub skanera tęczówki oka.

Co więcej, można to zrobić w stosunkowo łatwy sposób. Wystarczy wydrukować zdjęcie oka użytkownika, nałożyć na nie soczewkę i podstawić pod czytnik tęczówki Samsunga Galaxy S8. Okazuje się, że po użyciu tak spreparowanej fotografii telefon uważa, że znajduje się przed nim prawdziwy użytkownik, po czym się odblokowuje.

Właśnie w ten sposób zabezpieczenia Samsunga złamali hakerzy z Chaos Computer Group. Musieli jednak spełnić kilka warunków. Po pierwsze zdjęcie należało wykonać dobrym aparatem. Po drugie, trzeba było w nim wyłączyć filtr podczerwieni. Tylko wtedy na zdjęciu są rejestrowane bardzo drobne szczegóły niezbędne do identyfikacji tęczówki. Zdjęcie należało wydrukować na wysokiej jakości drukarce laserowej. Ciekawostka: tutaj najlepiej poradziła sobie drukarka… Samsunga. Potem na zdjęcie należy położyć soczewkę kontaktową, która zasymuluję krzywiznę oka. Sprawę oficjalnie skomentował Olaf Krynicki, rzecznik Samsung Polska, w rozmowie z serwisem Telepolis:

Powtórzenie takiego ataku może rzeczywiście być trudne w rzeczywistych warunkach. By go przeprowadzić, trzeba być wyposażonym w odpowiedni sprzęt. Atakujący musi dysponować dobrym aparatem z obiektywem 200 mm. Dopiero wtedy może zrobić zdjęcie wystarczające do odblokowania telefonu z rozsądnej odległości 5 metrów. Fotografia oczywiście musi być bardzo dokładna i nierozmazana, więc fotograf musi uchwycić swój cel w nieruchomej pozycji, w której dokładnie widać jego oczy. Może to być bardzo trudne, jednak jako że przez cały czas eksponujemy nasze oczy, każdego dnia nadarza się mnóstwo sytuacji, w których można wykraść materiał niezbędny do odblokowania telefonu.

Pamiętajmy jednak, że większości z nas  podobny atak nie grozi. W końcu kogo interesują SMS-y i zdjęcia takiej osoby jak ja? Zagrożeni mogą być co najwyżej celebryci, których wysokiej jakości zdjęcia pojawiają się masowo w sieci. Czy Paparazzi mogliby współpracować ze złodziejami telefonów w celu zdobycia gorącego materiału? Naprawdę, po tym co wyrabiają nasze lokalne tabloidy, jestem w stanie w to uwierzyć.

Oczywiście można powiedzieć, że osoby czujące się zagrożone tego typu atakami mogą skorzystać z trzeciego zagrożenia biometrycznego, a mianowicie znajdującego się z tyłu urządzenia czytnika linii papilarnych. Ten jest jednak umieszczony nie pod aparatem, a obok niego. Z tego powodu  trafienie w niego palcem jest wyjątkowo niewygodne. Z kolei w przypadku Samsunga Galaxy S8 Plus czytnik jest umieszczony na tyle wysoko, że znaczna część użytkowników może mieć problem z dosięgnięciem go. Ewentualnie przy próbie korzystania z niego brudzi szkiełko aparatu.

Trzecie z kolei jest dość niewygodne w użyciu. W takiej sytuacji można dojść do wniosku, że najlepszym sposobem na zabezpieczenie smartfonu będzie użycie jednego z klasycznych rozwiązań, na przykład kodu PIN, wzoru lub hasła wpisywanego na ekranie. Jeżeli na Samsungu Galaxy S8 trzymamy naprawdę newralgiczne dane, warto poważnie rozważyć tę opcję. Przynajmniej do czasu, aż Koreańczycy wprowadzą poprawkę oprogramowania. A ta według Samsunga, powinna pojawić się już niebawem. Dlatego osoby potencjalnie narażone na atak nie powinny panikować. Wystarczy, że cierpliwie poczekają na odpowiednią łatkę, a następnie ją zainstalują.