Odemykání Galaxy S5 otiskem prstu nahrává zlodějům

Sdílet

 Autor: © Samsung
Autorizace pomocí otisku prstu je jedním z hlavních taháků nového telefonu Samsung Galaxy S5. Německým vývojářům však trvalo pouhé čtyři dny, než přišli na to, jak toto bezpečnostní opatření obejít.

Odemykání pomocí otisku prstu je jedním z hlavních taháků nového telefonu, ale jeho implementace je značně nevydařená. Samsung navíc opakuje chyby svých předchůdců.

Ve svém experimentu výzkumníci nejprve k uzamčení telefonu použili klasický otisk opravdového prstu, který pak otiskli do modelíny. Tu následně použili k odemknutí telefonu.

Zajímavostí je, že se jednalo o přesně stejný typ modelíny, kterou ke stejnému účelu použili minulý rok při (úspěšném) pokusu o obejití bezpečnostního systému TouchID od Applu.

Modelína s otiskem byla upravena za laboratorních podmínek, ale tento trik není založen na ničem jiném než na obtisknutí latentního otisku z obrazovky smartphonu.

Tyto latentní otisky nejsou pouhým okem viditelné, k jejich zviditelnění však podle webu Explore Forensics stačí použít hořčíkový prášek, který tvrdé a lesklé povrchy osvětlí.

Tato slabina je o to vážnější, že je do Samsungu S5 integrován platební systém PayPal, který uživatelům umožňuje pomocí otisku prstu provádět platby a převádět peníze, což by mohlo být pro potenciální útočníky celkem silnou motivací k tomu, aby se do zařízení pokusili dostat.

PayPal však oznámil, že pouhý otisk prstu pro přístup k jeho službám rozhodně nestačí a že sken prstů odemyká pouze zabezpečený kryptografický klíč, který slouží jako náhrada hesla. V případě ztráty či odcizení zařízení lze tento klíč jednoduše deaktivovat a vytvořit si nový.

Používání otisků prstů má oproti heslům podle výzkumníků ze SRLabs dvě nevýhody. Pokud je otisk ukraden, na rozdíl od hesla si ho nemůžeme změnit a kopie otisků našich prstů jsou v podstatě naprosto všude včetně zařízení, jež mají chránit.

„Tento způsob ochrany bude vždy vypadat lákavě a pohodlně, je však zodpovědností výrobce, aby podobný systém implementoval způsobem, který neohrozí data a peníze uživatelů,“ napsala organizace SRLab.

Přestože je tato chyba velmi nepříjemná, je nepravděpodobné, že by prodeje Galaxy S5 ovlivnila.

Ukázka z pokusného odemčení Samsungu S5 falešným otiskem prstu (anglicky):

bitcoin školení listopad 24