Сканер сетчатки в Samsung S8 обманули с помощью принтера Samsung

Безопасность Бизнес Техника
мобильная версия
, Текст: Роман Георгиев

Сканер сетчатки глаза, встроенный в смартфон Samsung Galaxy S8, можно обмануть с помощью фотографии, утверждают исследователи из Chaos Computer Club. Хотя сканер и понимает разницу между плоским изображением и объемными объектами, оказалось, что достаточно наклеить на фото контактные линзы, чтобы сбить этот инструмент с толку.


Обман сканера сетчатки

Эксперты Chaos Computer Club продемонстрировали способ обхода одного из ключевых инструментов биометрической авторизации, которыми оснащен новый флагманский смартфон Samsung S8. Сканер сетчатки глаза удалось обмануть с помощью фотографии и контактных линз.

S8 — это уже вторая серия смартфонов Samsung, оснащенная сканером сетчатки. Первой была линейка Galaxy Note 7. Эти устройства производитель был вынужден отозвать из-за многочисленных случаев перегрева и возгорания батарей. Таким образом, S8 стал первым смартфоном, пользователи которого смогли оценить сканер сетчатки, равно как и другие средства биометрической авторизации. В частности, сканер отпечатка пальца и сканер лица.

Как и отпечаток пальца, сетчатка глаза уникальна для каждого человека. Однако способы обманывать сканеры отпечатков пальцев известны давно. Теперь нашелся довольно простой и в чем-то даже элегантный способ обмана еще и сканера сетчатки.

Камера, принтер, клей, контактные линзы

Инженеры Samsung предусмотрели вероятность того, что сканер будут пытаться обмануть с помощью фотографий, поэтому оснастили его детектором глубины. Однако исследователю Chaos Computer Club Яну Крисслеру (Jan Krissler) пришло в голову сымитировать объем с помощью контактных линз, наклеенных на глаза на фото. И этот трюк сработал.

Сканер сетчатки Samsung обманули с помощью фотографии и контактных линз

Таким образом, если у злоумышленника есть физический доступ к смартфону, заблокированному с помощью сканера сетчатки, для разблокирования ему понадобится в меру крупная фотография лица владельца устройства, распечатанная на цветном принтере (причем лучше всего подходят как раз принтеры Samsung), пара контактных линз и клей.

Проблема серьезнее, чем кажется

В то время как такой способ обмана сканера сетчатки выглядит в меру курьезно, продемонстрирован сам факт уязвимости этого инструмента. Между тем, именно сканер сетчатки Samsung планировал использовать как основной способ авторизации в своей собственной системе электронных платежей Samsung Pay. То есть, в случае попадания такого смартфона в руки злоумышленнику, под угрозой будут не только хранящиеся на нем данные, но и финансы его прежнего пользователя.

«По большому счету, сегодня не существует универсальных, неуязвимых способов авторизации, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Уязвимые места или способы обхода рано или поздно находятся у всех подобных инструментов, даже у биометрических сканеров, когда-то считавшихся образчиком надежности. Наиболее верным подходом к защите будет использование комбинации из сразу нескольких способов авторизации. Это не всегда удобно для пользователей, но тут остается выбирать, что важнее: удобство или защищенность данных на устройстве».

Комментарий Samsung

После выхода этого материала с CNews связалась пресс-служба российского офиса Samsung и сообщила, что компании известно об описанном инциденте, но разработчики настаивают на том, что технология распознавания в Galaxy S8 была создана и внедрена «после тщательного тестирования, чтобы обеспечить высокий уровень точности сканирования и предотвратить попытки несанкционированного доступа».

В Samsung считают, что описываемый в материале способ может быть реализован только «с использованием сложной техники и совпадении ряда обстоятельств». «Нужна фотография сетчатки высокого разрешения, сделанная на инфракрасную камеру, контактные линзы и сам смартфон, — говорят в пресс-службе. — В ходе внутреннего расследования было установлено, что добиться результата при использовании такого метода невероятно сложно».