Odemykání Galaxy S5 otiskem prstu nahrává zlodějům

Autorizace pomocí otisku prstu je jedním z hlavních taháků nového telefonu Samsung Galaxy S5. Německým vývojářům však trvalo pouhé čtyři dny, než přišli na to, jak toto bezpečnostní opatření obejít.

Odemykání Galaxy S5 otiskem prstu nahrává zlodějům


Odemykání pomocí otisku prstu je jedním z hlavních taháků nového telefonu, ale jeho implementace je značně nevydařená. Samsung navíc opakuje chyby svých předchůdců.

Ve svém experimentu výzkumníci nejprve k uzamčení telefonu použili klasický otisk opravdového prstu, který pak otiskli do modelíny. Tu následně použili k odemknutí telefonu.

Zajímavostí je, že se jednalo o přesně stejný typ modelíny, kterou ke stejnému účelu použili minulý rok při (úspěšném) pokusu o obejití bezpečnostního systému TouchID od Applu.

Modelína s otiskem byla upravena za laboratorních podmínek, ale tento trik není založen na ničem jiném než na obtisknutí latentního otisku z obrazovky smartphonu.

Tyto latentní otisky nejsou pouhým okem viditelné, k jejich zviditelnění však podle webu Explore Forensics stačí použít hořčíkový prášek, který tvrdé a lesklé povrchy osvětlí.

Tato slabina je o to vážnější, že je do Samsungu S5 integrován platební systém PayPal, který uživatelům umožňuje pomocí otisku prstu provádět platby a převádět peníze, což by mohlo být pro potenciální útočníky celkem silnou motivací k tomu, aby se do zařízení pokusili dostat.

PayPal však oznámil, že pouhý otisk prstu pro přístup k jeho službám rozhodně nestačí a že sken prstů odemyká pouze zabezpečený kryptografický klíč, který slouží jako náhrada hesla. V případě ztráty či odcizení zařízení lze tento klíč jednoduše deaktivovat a vytvořit si nový.

Používání otisků prstů má oproti heslům podle výzkumníků ze SRLabs dvě nevýhody. Pokud je otisk ukraden, na rozdíl od hesla si ho nemůžeme změnit a kopie otisků našich prstů jsou v podstatě naprosto všude včetně zařízení, jež mají chránit.

„Tento způsob ochrany bude vždy vypadat lákavě a pohodlně, je však zodpovědností výrobce, aby podobný systém implementoval způsobem, který neohrozí data a peníze uživatelů,“ napsala organizace SRLab.

Přestože je tato chyba velmi nepříjemná, je nepravděpodobné, že by prodeje Galaxy S5 ovlivnila.

Ukázka z pokusného odemčení Samsungu S5 falešným otiskem prstu (anglicky):

 

Úvodní foto: © Samsung










Komentáře