Skaner odcisków palców w Galaxy S5 zhakowany [AKTUALIZACJA]

Metoda znana szerzej jako “fingerprint spoofing” została zastosowana przez grupę SRLabs po raz pierwszy podczas testowania skanera linii papilarnych montowanego w najnowszych iPhone’ach (5S). Zarówno w przypadku sprzętu Apple jak i Samsunga metoda działa z prawie 100% skutecznością i sprawia, że jesteśmy coraz mniej przekonani do metody uwierzytelniania za pomocą odcisku palca.

Użytkowników iPhone’a może pocieszyć fakt, że dodatkowa weryfikacja za pomocą podania staromodnego, czterocyfrowego hasła wymagana jest za każdym razem, kiedy włączamy nasz telefon. Inżynierowie Samsunga widocznie stwierdzili, że takie zabezpieczenie jest zbędne i będzie tylko irytować użytkowników – posiadając odcisk palca właściciela telefonu, nie musimy martwić się, że nie będziemy mogli odblokować go, gdy się wyłączy.

Test Samsunga przeprowadzono krótko po tym, jak firma ogłosiła swoją współpracę z PayPal. Samsung Galaxy S5 jako pierwszy smartfon w historii umożliwia klientom logowanie do dowolnego sklepu korzystającego z systemu PayPal za pomocą czytnika linii papilarnych. Nowa funkcja eliminuje potrzebę zapamiętywania danych do logowania, takich jak nazwa użytkownika czy hasło. I trzeba przyznać, że nowa funkcja działa doskonale, nawet z podrobionym odciskiem:

Sam odcisk palca został wykonany następująco, przy okazji testów iPhone’a 5S:

Na odkrycie niemieckiej grupy bardzo szybko zareagował sam PayPal. Portal wydał następujące oświadczenie:

O ile traktujemy odkrycie Security Research Labs bardzo poważnie, nadal jesteśmy przekonani, że weryfikacja za pomocą odcisku palca jest bezpieczniejszym i łatwiejszym sposobem dokonywania płatności za pomocą urządzeń mobilnych w porównaniu do korzystania z tradycyjnych haseł, czy kart kredytowych. PayPal nie przechowuje, ani nawet nie posiada dostępu do odcisków palców przechowywanych na Galaxy S5. Autoryzacja za pomocą odcisku palca odblokowuje zabezpieczony kryptograficznie klucz, który zastępuje standardowe hasło i za pomocą którego, użytkownik loguje się na swoje konto PayPal za pomocą swojego telefonu. Możemy po prostu deaktywować klucz znajdujący się na skradzionym, bądź zgubionym urządzeniu, a nasz użytkownik wystarczy, że wygeneruje sobie nowy klucz. PayPal korzysta również z zaawansowanych narzędzi, których zadaniem jest zapobieganie oszustwom zanim zostaną popełnione. A nawet jeśli ktoś uzyska nielegalny dostęp do konta naszego użytkownika, jest on chroniony przez naszą politykę ochrony transakcji.

AKTUALIZACJA

Do podanej wyżej informacji dołączamy też oświadczenie przysłane nam przez pana

Olafa Krynickiego, rzecznika prasowego Samsung Electronics Polska

Opisany problem nie jest postrzegany w branży jako stanowiący realne zagrożenie dla użytkownika indywidualnego.

Eksperyment ten został przeprowadzony w sztucznych warunkach laboratoryjnych i wymagał spełnienia szeregu bardzo specyficznych założeń oraz zastosowania konkretnych urządzeń i materiałów.

Firma Samsung bardzo poważnie traktuje wszelkie sygnały związane z tą sprawą i nieustannie podejmuje niezbędne działania w celu zapewnienia bezpieczeństwa swoich urządzeń.