Odemykání pomocí otisku prstu je jedním z hlavních taháků nového telefonu, ale jeho implementace je značně nevydařená. Samsung navíc opakuje chyby svých předchůdců.
Ve svém experimentu výzkumníci nejprve k uzamčení telefonu použili klasický otisk opravdového prstu, který pak otiskli do modelíny. Tu následně použili k odemknutí telefonu.
Zajímavostí je, že se jednalo o přesně stejný typ modelíny, kterou ke stejnému účelu použili minulý rok při (úspěšném) pokusu o obejití bezpečnostního systému TouchID od Applu.
Modelína s otiskem byla upravena za laboratorních podmínek, ale tento trik není založen na ničem jiném než na obtisknutí latentního otisku z obrazovky smartphonu.
Tyto latentní otisky nejsou pouhým okem viditelné, k jejich zviditelnění však podle webu Explore Forensics stačí použít hořčíkový prášek, který tvrdé a lesklé povrchy osvětlí.
Tato slabina je o to vážnější, že je do Samsungu S5 integrován platební systém PayPal, který uživatelům umožňuje pomocí otisku prstu provádět platby a převádět peníze, což by mohlo být pro potenciální útočníky celkem silnou motivací k tomu, aby se do zařízení pokusili dostat.
PayPal však oznámil, že pouhý otisk prstu pro přístup k jeho službám rozhodně nestačí a že sken prstů odemyká pouze zabezpečený kryptografický klíč, který slouží jako náhrada hesla. V případě ztráty či odcizení zařízení lze tento klíč jednoduše deaktivovat a vytvořit si nový.
Používání otisků prstů má oproti heslům podle výzkumníků ze SRLabs dvě nevýhody. Pokud je otisk ukraden, na rozdíl od hesla si ho nemůžeme změnit a kopie otisků našich prstů jsou v podstatě naprosto všude včetně zařízení, jež mají chránit.
„Tento způsob ochrany bude vždy vypadat lákavě a pohodlně, je však zodpovědností výrobce, aby podobný systém implementoval způsobem, který neohrozí data a peníze uživatelů,“ napsala organizace SRLab.
Přestože je tato chyba velmi nepříjemná, je nepravděpodobné, že by prodeje Galaxy S5 ovlivnila.
Ukázka z pokusného odemčení Samsungu S5 falešným otiskem prstu (anglicky):
PŘEDPLATNÉ
ČLÁNKY DO MAILU