Aktualizácia: Hacker oklamal skener dúhovky na Galaxy S8. Bolo to až priveľmi jednoduché

Hoci Samsung tvrdí, že bezpečnostný mechanizmus Galaxy S8 je „jeden z najbezpečnejších spôsobov, ako udržať váš telefón uzamknutý“, hackeri z nemeckej skupiny Chaos Computer Club (CCC) až priľahko prekonali autentifikáciu založenú na skenovaní dúhovky. Potrebovali na to digitálny fotoaparát, laserovú tlačiareň (paradoxne najlepšie výsledky ponúkali modely vyrobené Samsungom) a kontaktné šošovky. Stačilo len nasnímať tvár subjektu, vytlačiť obrázok oka, prekryť ho navlhčenou kontaktnou šošovkou a pridržať pred uzamknutým Galaxy S8.

Fotografia nemusí byť zhotovená veľmi zblízka, pomôže však odstránenie infračerveného filtra alebo režim nočného snímania. Jeden z hackerov s prezývkou Starbug sa vyjadril, že si vybrali Galaxy S8 z toho dôvodu, že patrí medzi prvé vlajkové telefóny, ktoré ponúkajú rozpoznanie dúhovky ako alternatívu k heslám a PIN kódu.

Samsung a Princeton Identity, výrobca technológie na skenovanie dúhovky v Galaxy S8, tvrdia, že rozpoznávanie dúhovky poskytuje bezpečnosť, ktorá umožňuje používateľom „dôverovať tomu, že ich telefóny sú chránené“.

Ukázalo sa však, že skenovanie dúhovky podobne ako rozpoznávanie odtlačkov prstov a iných biometrických prvkov poskytuje často menej kvalitnú možnosť autentifikácie. Starbug už v roku 2013 demonštroval, ako sa dá oklamať mechanizmus Touch ID na iPhone odtlačkom získaným z pohára (telefóny s Androidom sú tiež náchylné na takýto útok). Povedal, že to isté platí aj pre vzory dúhovky používané na autentifikáciu. Biometriu je vhodnejšie používať ako jeden z prvkov viacfaktorovej autentifikácie, napr. v kombinácii s heslom.

Stanovisko spoločnosti Samsung k tejto problematike je nasledujúce: 

„O nahlásenom prípade vieme, radi by sme však zákazníkov uistili, že technológia snímania očnej dúhovky, použitá v telefónoch Galaxy S8, prechádzala pri svojom vývoji dôkladným testovaním, aby sme dosiahli vysokú presnosť rozpoznávania a zamedzili tak pokusom o prielom zabezpečenia, napr. pomocou preneseného obrazu dúhovky. To, čo reportér tvrdí, by bolo možné iba za veľmi vzácneho súbehu niekoľkých okolností. Vyžadovalo by to veľmi nepravdepodobnú situáciu, kedy by sa v nepovolaných rukách ocitol obraz dúhovky vlastníka smarfónu vytvorený infračervenou kamerou a vo vysokom rozlíšení, ďalej jeho kontaktná šošovka a tiež samotný smartfón - to všetko v rovnaký okamih. Urobili sme interné pokusy o rekonštrukciu takejto situácie za rovnakých okolností a replikovať opísaný výsledok sa ukázalo byť veľmi ťažké. Ak však existuje hypotetická možnosť prielomu zabezpečenia alebo existuje nový spôsob, ktorý by mohol ohroziť naše snahy o nepretržité prísne zabezpečenie, budeme ich okamžite riešiť.“

Zdroj: Arstechnica