Naudojant akies rainelės skaitytuvą, telefoną galima atrakinti tiesiog į jį pažvelgus. „Samsung“ šį įrankį vadina „nepralaužiama apsauga“.
Vis dėlto programišiai iš Vokietijos „Chaos Computer Club“ įrodė, kad taip nėra – jiems pavyko apgauti akies rainelės skaitytuvą. Tai jie atliko nufotografavę savininko veidą, fotoaparate nustatę naktinį režimą, iš vidutinio nuotolio. Tuomet iš nuotraukos jie iškirpo akį ir ją atspausdino lazeriniu spausdintuvu (ironiška, bet geriausiai triukas veikė su „Samsung“ modeliais) bei prie nuotraukos pritvirtino kontaktinį lęšį.
Telefonas, kuriame aktyvuotas akies rainelės skaitytuvas, šią nuotrauką pripažino kaip tikrąjį telefono savininką ir atsirakino.
Kaip visa tai veikia, programišiai pademonstravo vaizdo įraše:
Realiai panaudoti - sudėtinga
„Samsung“ atstovai komentare portalui Lrytas.lt nurodė, kad kompanija apie atrastą pažeidžiamumą žino, bet nemano, kad jis keltų realią grėsmę vartotojams.
„Savo klientus ir visus vartotojus norėtume užtikrinti, kad akies rainelės skenavimo technologija, esanti „Samsung Galaxy S8“ telefone, buvo sukurta atliekant griežčiausius kokybės testus. Jie buvo atliekami tam, kad užtikrintume maksimalų šios technologijos tikslumą ir išvengtume bandymų pasėti abejones dėl jos saugumo lygio, pavyzdžiui, bandymų apgauti šią technologiją, naudojant žmogaus akies nuotrauką.
Pranešime minima sunkiai tikėtina situacija gali atsirasti tik vienu metu susiklosčius kelioms retoms aplinkybėms. Visų pirma, tam būtų reikalinga aukštos kokybės nuotrauka, padaryta IR kamera, kurioje itin detaliai ir aiškiai yra matoma telefono savininko akies rainelė. Taip pat, kad tai pavyktų, reikalingi ir lęšiai. Be to, tuo pačiu metu telefoną reikia laikyti tinkamoje padėtyje. Mes atlikome vidinius tyrimus ir imitavome šią situaciją, sukurdami tokias pačias aplinkybes, tačiau tą padaryti buvo ypatingai sudėtinga.
Vis dėlto, jeigu atsiras potenciali grėsmė įrenginio saugumui arba bus sukurtas naujas mūsų saugumo technologijų pažeidimo metodas, nedelsiant spręsime tokias problemas“, – nurodė „Samsung“ atstovai.
Pataria užsimerkti
Saugumo ekspertas Kenas Munro pastebėjo, kad programišių atradimas dar kartą primena, jog biometriniai duomenys nėra vaistas nuo visų ligų.
„Asmeniškai man labiau patinka pirštų atspaudai, o ne akies rainelės skaitytuvas. Jūsų pirštai jau laiko telefoną, taigi kodėl nenaudoti jų atspaudų, vietoje to, kad mojuotum telefonu priešais veidą? – retoriškai klausė K.Munro. – Jei nori būti visiškai tikras dėl savo saugumo, naudok pirštų atspaudus ir PIN kodą. Jei ketini naudoti akies raineles, vaikščiok visur užsimerkęs, kad niekas nenufotografuotų tavo akių.“
„Galaxy S8“ savininkai gali telefono atrakinimui naudoti pirštų atspaudus, akies rainelę, veido bruožus, slaptažodį, sujungtų taškų kombinaciją arba PIN kodą.
Minėta programišių grupuotė jau anksčiau pademonstravo, kaip panaudojus piršto atspaudą nuo vandens stiklinės galima apgauti išmaniojo telefono pirštų atspaudo jutiklį.
Parengta pagal Arstechnica.com ir BBC inf.
