Dúhovky Samsung s8 nefungujú. Skener dúhovky v Samsungu Galaxy S8 bol oklamaný pomocou fotografie
Ukazuje sa, že oklamať sa dá aj skener dúhovky v smartfóne Samsung Galaxy S8. A samotný postup na obídenie biometrického identifikačného systému nevyžaduje použitie žiadnych drahých a high-tech zariadení, uvádza Motherboard.
Informovali o tom členovia nemeckej komunity na ochranu údajov Chaos Computer Club. Zverejnili aj návod, ako obísť skener dúhovky v smartfóne Samsung Galaxy S8.
Ako zistili hackeri, na odomknutie stačí urobiť digitálnu fotografiu oka v nočnom režime alebo vypnutím infračerveného filtra na fotoaparáte.
Po menšom spracovaní, ktoré môže zahŕňať zmenu jasu a kontrastu, je potrebné fotografiu oka vytlačiť na laserovej tlačiarni (autori štúdie ironicky poznamenávajú, že najlepšie výsledky dokázali dosiahnuť pomocou tlačiarní Samsung).
V poslednej fáze hackeri umiestnili na fotografiu kontaktnú šošovku, aby napodobnili skutočné oko a telefón tento obrázok vníma ako skutočné oko. Potom biometrický identifikačný systém dúhovky Samsungu Galaxy S8 kapituloval.
Účastníci Chaos Computer Clubs berú na vedomie, že týmto spôsobom môžete získať prístup k platobnej službe Samsung Pay.
„Ak si ceníte údaje na svojom smartfóne alebo ich chcete použiť na platby, potom je používanie tradičného PIN bezpečnejším prístupom ako biometrické overovanie,“ povedal hovorca CCC Dirk Engling.
Podľa webovej stránky Samsungu je skener dúhovky jedným z najbezpečnejších biometrických identifikačných systémov, pretože dúhovku nemožno skopírovať tak ľahko ako odtlačok prsta. Už predtým sme vedeli, že tento model telefónu bolo možné odomknúť jednoduchým podržaním telefónu s fotografiou majiteľa smartfónu.
Samsung sa neskôr vyjadril k demonštrovanej metóde obídenia skenera dúhovky:
„Spoločnosť si je vedomá tejto správy. Spoločnosť Samsung uisťuje používateľov, že technológia rozpoznávania dúhovky v Galaxy S8 bola vyvinutá a implementovaná po prísnom testovaní, aby sa zabezpečila vysoká úroveň presnosti skenovania a zabránilo sa pokusom o neoprávnený prístup.
Metódu opísanú v uvedenom materiáli je možné realizovať len pomocou komplexnej technológie a zhody viacerých okolností. Potrebujete fotografiu sietnice s vysokým rozlíšením urobenú IR kamerou, kontaktné šošovky a samotný smartfón. Interné vyšetrovanie zistilo, že dosiahnutie výsledkov pomocou tejto metódy bolo neuveriteľne ťažké.
Aj keď však existuje potenciálna zraniteľnosť, špecialisti spoločnosti vynaložia maximálne úsilie, aby čo najskôr zaistili bezpečnosť dôverných a osobných údajov používateľov.“
Prihláste sa na odber Quibl na Viber a Telegram, aby ste mali prehľad o najzaujímavejších udalostiach.
Vlajkový smartfón Samsung Galaxy S8 dostal nielen snímač odtlačkov prstov, ale aj skener očnej dúhovky, ktorý je podľa predstaviteľov spoločnosti spoľahlivejším prostriedkom biometrickej identifikácie majiteľa. Zástupcovia nemeckej hackerskej komunity Chaos Computer Clubs (CCC) však organizovaný Oklamať skener zariadenia Samsung je pomerne jednoduché.
Ako zistili hackeri, na to stačí urobiť digitálnu fotografiu oka v nočnom režime alebo vypnutím infračerveného filtra na fotoaparáte. Po malom spracovaní, ktoré môže zahŕňať zmenu jasu a kontrastu, je potrebné fotografiu oka vytlačiť na laserovej tlačiarni (autori štúdie ironicky poznamenávajú, že najlepšie výsledky dokázali dosiahnuť pomocou tlačiarní Samsung) a potom umiestniť bežnú kontaktnú šošovku na zrenici a ukážte fotografiu skeneru smartfónu na odomknutie.
„Ak si ceníte údaje na svojom smartfóne alebo ich chcete používať na platby, potom je používanie tradičného PIN kódu spoľahlivejším prístupom ako biometrické overovanie,“ povedal hovorca CCC Dirk Engling a pripomenul, že skener dúhovky Samsung Galaxy S8 môže byť slúži na autorizáciu v systéme Samsung Pay.
Na YouTube bolo zverejnené krátke video demonštrujúce účinnosť metódy oklamania skenera smartfónu.
Samsung sa neskôr vyjadril k predvedenému spôsobu obídenia skenera dúhovky. Ako sa uvádza v správe spoločnosti prijatej na NEWSru.com, opísaný spôsob je možné implementovať iba pomocou sofistikovanej technológie a za zhody viacerých okolností.
"Potrebujete fotografiu sietnice s vysokým rozlíšením urobenú pomocou IR kamery, kontaktných šošoviek a samotného smartfónu. Počas interného vyšetrovania sa zistilo, že je neuveriteľne ťažké dosiahnuť výsledky pomocou tejto metódy," poznamenal Samsung.
Spoločnosť tiež uviedla, že technológia rozpoznávania dúhovky v Galaxy S8 bola vyvinutá a implementovaná po prísnom testovaní s cieľom zabezpečiť vysokú úroveň presnosti skenovania a zabrániť pokusom o neoprávnený prístup a prisľúbila, že vynaloží maximálne úsilie na zaistenie bezpečnosti používateľských údajov.
Pripomeňme si, že predtým skupina špecialistov na počítačovú bezpečnosť z University of Michigan našla jednoduchý spôsob, ako hacknúť skener odtlačkov prstov, ktorý je vybavený mnohými modernými smartfónmi, pomocou bežnej atramentovej tlačiarne.
Prvé správy o „hacknutí“ biometrických ochranných systémov vlajkových lodí smartfónov Samsung (Galaxy S8 a S8+) sa skutočne objavili v deň ich predstavenia, na konci marca 2017. Pripomínam, že v tom čase španielsky španielsky pozorovateľ MarcianoTech viedol živé vysielanie Periscope z akcie Samsungu a naživo oklamal systém rozpoznávania tváre. Spravil si selfie na vlastný telefón a pochválil sa výslednou fotkou Galaxy S8. Napodiv tento jednoduchý trik fungoval a smartfón bol odomknutý.
Vlajkové lode Samsungu sú však vybavené niekoľkými biometrickými systémami: snímačom odtlačkov prstov, systémom rozpoznávania dúhovky a systémom rozpoznávania tváre. Zdá sa, že snímače odtlačkov prstov a dúhovky by mali byť spoľahlivejšie? Zjavne nie.
Vedci z Chaos Computer Club (CCC) uvádzajú, že dokázali oklamať skener dúhovky pomocou obyčajnej fotografie nasnímanej zo strednej vzdialenosti. Známy špecialista Jan “Starbug” Krissler teda píše, že majiteľa Galaxy S8 stačí odfotografovať tak, aby mu boli v zábere viditeľné oči. Potom je potrebné vytlačiť výslednú fotografiu a ukázať ju prednému fotoaparátu zariadenia.
Jediným problémom je, že moderné skenery dúhovky (rovnako ako systémy rozpoznávania tváre) dokážu rozlíšiť 2D obrázky od skutočného ľudského oka alebo tváre v 3D. Kosmik však túto ťažkosť ľahko prekonal: na fotografiu oka jednoducho nalepil kontaktnú šošovku a to stačilo.
Na dosiahnutie najlepšieho výsledku špecialista odporúča fotografovať v nočnom režime, pretože vám to umožní zachytiť viac detailov, najmä ak sú oči obete tmavé. Chrissler tiež píše, že je lepšie tlačiť fotografie na laserových tlačiarňach Samsung (aká irónia).
„Dobrý digitálny fotoaparát s 200 mm objektívom bude stačiť na zachytenie obrazu vhodného na oklamanie systému rozpoznávania dúhovky zo vzdialenosti až päť metrov,“ zhŕňa Chrissler.
Tento útok sa môže ukázať ako oveľa nebezpečnejší ako banálny podvod systému rozpoznávania tváre, pretože ak tento nemožno použiť na potvrdenie platieb v službe Samsung Pay, možno na to použiť očnú dúhovku. Nájsť v dnešnej dobe kvalitnú fotografiu obete zjavne nie je ťažké a v dôsledku toho môže útočník nielen odomknúť zariadenie a získať prístup k informáciám používateľa, ale aj ukradnúť finančné prostriedky z peňaženky Samsung Pay niekoho iného.
Špecialisti Chaos Computer Club varujú používateľov, že by nemali príliš dôverovať biometrickým bezpečnostným systémom a odporúčajú používať staré dobré PIN kódy a obrázkové heslá.
Video nižšie ilustruje krok za krokom všetky fázy vytvárania falošného „oka“ a demonštruje následné klamanie Samsungu Galaxy S8.
Zástupcovia Samsungu sa k situácii vyjadrili:
"Spoločnosť si je tohto oznámenia vedomá. Samsung ubezpečuje používateľov, že technológia rozpoznávania dúhovky v Galaxy S8 bola vyvinutá a implementovaná po prísnom testovaní, aby sa zabezpečila vysoká úroveň presnosti skenovania a zabránili sa pokusom o neoprávnený prístup.
Metódu opísanú v uvedenom materiáli je možné realizovať len pomocou komplexnej technológie a zhody viacerých okolností. Potrebujete fotografiu sietnice s vysokým rozlíšením urobenú IR kamerou, kontaktné šošovky a samotný smartfón. Interné vyšetrovanie zistilo, že dosiahnutie výsledkov pomocou tejto metódy bolo neuveriteľne ťažké.
Aj keď však existuje potenciálna zraniteľnosť, špecialisti spoločnosti vynaložia maximálne úsilie, aby čo najskôr zaistili bezpečnosť dôverných a osobných údajov používateľov.“
Galaxy S8 a S8+ majú tri biometrické snímače: snímač odtlačkov prstov, snímač dúhovky a rozpoznávanie tváre pomocou prednej kamery. Používajú sa na overenie používateľov na rôzne účely, hoci niektoré z ich schopností sú duplicitné.
Skener odtlačkov prstov
Skener odtlačkov prstov sa v Galaxy S8 a S8+ používa na odomknutie obrazovky (aj v spojení so zadaním hesla), ako aj na potvrdenie identity v aplikáciách a na potvrdenie platieb (v Google Play, Android Pay, Samsung Pay a ďalších službách ).
Predtým Samsung umiestnil takýto skener na prednú stranu, no na nových smartfónoch je umiestnený na zadnej strane vedľa fotoaparátu. Samsung pravdepodobne chápe, že to nie je dobré riešenie, a tak dokonca do fotoaparátu zahrnul pripomienku, aby ste pravidelne čistili šošovku fotoaparátu (ktorá sa môže zašpiniť, keď sa používateľ pokúsi zamotať skener).
Skener dúhovky
Podobne ako odtlačky prstov, vzor dúhovky je pre každého človeka jedinečný. Tento skener nahrádza snímanie odtlačkov prstov a má množstvo výhod – napríklad sa nemusíte dotýkať zariadenia (čo môže byť kritické, keď máte špinavé alebo vlhké ruky). Tento skener vám umožňuje odomknúť smartfón, overiť váš účet Samsung a prihlásiť sa do aplikácií a webových stránok. Má to aj nevýhody – pomalosť prevádzky a nízka presnosť rozpoznania používateľa.Predná kamera so skenerom tváre
Skenovanie tváre je najnovšia a najsľubnejšia technológia. Podľa Samsungu vám umožňuje odomknúť smartfón okamžite (za 0,1 s) a tvár používateľa môže byť vo veľkej vzdialenosti od prednej kamery.
Skenovanie tváre sa dnes používa na odomykanie smartfónu a nahrádza zadávanie PIN kódu, hesla alebo vzorového kódu. Spoločnosť Samsung si nie je úplne istá bezpečnosťou tejto technológie, preto ju nemožno použiť na potvrdenie platieb v Android Pay a Samsung Pay. Je nepravdepodobné, že bude možné tento skener oklamať pomocou obyčajnej fotografie, to však neznamená, že hackeri nevymyslia spôsoby, ako ochranu obísť – napríklad pomocou trojrozmerného obrázka alebo masky.
Prečo by si Samsung nemohol vystačiť s jedným skenerom pre všetky situácie? O toto tu asi ide. Je možné, že ďalšie vlajkové lode budú využívať len jeden z aktuálne dostupných skenerov, no existuje aj možnosť, že spoločnosť skombinuje viacero technológií a biometrická ochrana bude analyzovať viacero parametrov naraz, čo výrazne zvýši jej spoľahlivosť.
Nie je to tak dávno, čo bola predstavená nová vlajková loď Samsung Galaxy Note 7. Jednou z jej kľúčových vlastností bola možnosť odomykania zariadenia skenovaním očnej dúhovky.
Ako vyzerá všeobecná schéma skenovania dúhovky?
Dúhovka našich očí, podobne ako odtlačok prsta, má svoj vlastný jedinečný vzor. Preto je to pohodlný spôsob autentifikácie. Biometrické občianske pasy, ak si pamätáte, zaznamenávajú presne túto informáciu, pretože na rozdiel od odtlačku prsta ešte nie je možné sfalšovať dúhovku. Navyše sa časom nemení.
Skener však neodfotí len vaše oko a následne ho porovná s originálom. V praxi sa postup začína smerovaným infračerveným lúčom blízkeho spektra. Toto svetlo je oveľa lepšie na identifikáciu ako denné svetlo, pretože je pre kameru jednoduchšie zachytiť vzor dúhovky osvetlený IR svetlom. Okrem toho môže takýto skener pracovať aj v tme. V tomto prípade môžu aj ľudia so slabým zrakom podstúpiť procedúru identifikácie dúhovky, pretože IR lúč voľne prechádza cez priehľadné sklá a šošovky. Po zafixovaní vzoru dúhovky algoritmus preloží vzor dúhovky do kódu, ktorý sa porovná s existujúcou databázou.
Zachytenie obrazu oka - výsledný obraz - identifikácia dúhovky a očného viečka - výber tejto oblasti - odstránenie očného viečka z obrazu - normalizácia tejto oblasti - transkódovanie - porovnanie s databázou
Čo je špeciálne na skeneri Samsung Galaxy Note 7?
Skener nového phabletu od Samsungu z veľkej časti funguje podľa vyššie opísanej schémy, kurióznym detailom je, že na prednom paneli Galaxy Note 7 sa nachádza fotoaparát, ktorý sa zaoberá výlučne rozpoznávaním dúhovky. Prečo predná kamera nemôže vykonávať túto úlohu? Pretože kamera musí byť citlivá na IR spektrum. V bežných fotoaparátoch je infračervené svetlo filtrované, pretože ničí bežné fotografie. Čítacia kamera má navyše užší pozorovací uhol, aby lepšie videl oko používateľa, najmä na diaľku.
Aké je to bezpečné?
Niektorí používatelia vyjadrili obavy, že takýto skener v Samsung Galaxy Note 7 môže byť nebezpečný, najmä či jeho časté používanie nepovedie k trvalému poškodeniu zraku. Takéto otázky sú celkom rozumné, pretože na skenovanie vám smartfón vyšle lúč svetla priamo do oka, a keďže toto svetlo je pre ľudí neviditeľné, zrenička sa pred ním nesnaží chrániť, takže svetlo dopadá na sietnicu bez toho, aby narazilo na akékoľvek prekážky.
V skutočnosti si nemôžeme byť 100% istí, že časté používanie skenera dúhovky Samsung Galaxy Note 7 nebude mať na naše oči nejaký vplyv. Ak tento článok práve číta optometrista, radi by sme počuli váš odborný názor na túto záležitosť.
Samotná spoločnosť upozorňuje používateľov, že pri identifikácii nie je potrebné držať smartfón príliš blízko očí, ak dodržíte toto upozornenie, všetko by malo byť v poriadku. Keďže však hodnoty dúhovky nie sú také bežné, masové testovanie a výsledky získané na ľuďoch ešte nie sú k dispozícii. Keď sa objavia, môže byť na varovanie už neskoro, alebo možno naopak – príde potvrdenie, že funkcia je úplne bezpečná.
Je to to isté ako skener sietnice?
Ak ste zmätení, dovoľte mi objasniť, skenovanie dúhovky a sietnice sú podobné procesy, líšia sa však v základnom princípe. Pri skenovaní sietnice algoritmus nečíta vzor sietnice, ale obraz očného pozadia. Na každodenné použitie je však oveľa jednoduchšie použiť skener dúhovky, pretože na čítanie sietnice je potrebné zariadenie priblížiť k oku. V prípade smartfónu by to vyzeralo veľmi hlúpo.
Prečo je to potrebné?
Smartfóny majú čítačky odtlačkov prstov už dlho, sú rýchle, spoľahlivé, bezpečné a dostatočne lacné na to, aby sa dali nainštalovať aj do čínskych smartfónov do 200 dolárov. Prečo potom potrebujeme skenery dúhovky? Predovšetkým preto, že sú niekoľkonásobne spoľahlivejšie a bezpečnejšie. Hlavným argumentom je, že odtlačky prstov zanechávame takmer na každom povrchu, ktorého sa dotkneme, čo znamená, že je oveľa jednoduchšie získať kópiu odtlačku prsta. Mokré a špinavé prsty zároveň zariadenie často ťažko rozpozná. Získať kópiu dúhovky je mimoriadne ťažké a vnútro očí nie je nikdy zašpinené špinou, takže pre majiteľa je oveľa jednoduchšie použiť autentifikáciu za akýchkoľvek podmienok. Aj keď vo filmoch už dlho prišli so spôsobom, ako túto ochranu obísť:
Má technológia budúcnosť?
Verím, že skener Samsung Galaxy Note 7 z neho hit neurobí. Áno, táto technológia funguje a môžete sa ňou pochváliť aj svojim priateľom, no väčšine bude stačiť použitie snímača odtlačkov prstov. Je však možné, že novinku ocení predovšetkým firemný segment, ktorý potrebuje chrániť informácie vo svojom smartfóne lepšie ako ostatní. Pre bežných ľudí bude podľa mňa príliš lenivé priblížiť smartfón na určitú vzdialenosť a zároveň vykonávať potrebné úkony. To ale neznamená, že Samsung technológiu nevyvinie alebo že sa zrazu nerozbehne a dokonca migruje na iPhone. Táto vážna hračka má šancu.
