Сканер отпечатков пальцев в Samsung Galaxy S5 также уязвим



    Все гаджетоманы помнят историю со взломом биометрической защиты iPhone 5S, успешную реализацию которого провела немецкая команда биометрических хакеров Chaos Computer Club (CCC).

    Меньше недели назад компания Samsung выпустила обновлённую версию своего флагмана, новинка получила название Samsung Galaxy S5 и тоже обладает биометрическим сканером отпечатков пальцев. Кроме того, в отличии от устройства Apple, S5 поддерживает использование датчика в сторонних приложениях. Так, первым авторизованным приложением стал мобильный кошелёк PayPal, в котором при помощи авторизации по отпечатку можно подтверждать совершение платежей и переводов.

    Скептически настроенная группа CCC неоднократно заявляла, что все существующие на данный момент (2007) технологии сканирования отпечатков пальцев уязвимы и могут быть легко обмануты при помощи смекалки и бытовых средств.

    Сканер отпечатков в SGS5 — не исключение. Команде SRLabs, также ранее заострявшей внимание на проблемах авторизации по отпечатку, на этот раз даже не пришлось выдумывать принципиально новые методики — старые готовые ПВХ-формочки, оставшиеся после экспериментов со сканером 5S, отлично работают и на сканере SGS5 (см. видео).

    Благодаря тому факту, что в устройстве Samsung не предусмотрен явный запрос пароля после N неудачных попыток сканирования пальца, у злоумышленника есть все шансы и неограниченное время на эксперименты с формочкой и вашим кошельком. Планы компании по внедрению такого типа авторизации в различные платёжные приложения могут сделать этот сенсор настоящей дырой в кармане.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 22

      +1
      Теги позабавили.
      Авторизация по отпечатку здорово выглядит, но совершенно не проходит испытание практикой. Наверное, использование USB-флешки в качестве ключа безопаснее. Да и старые добрые пароли показали свою состоятельность за все годы использования. Внезапно, без дотошного тестирования, менять их новомодной технологией по меньшей мере глупо.
        0
        Просто не нужно в телефоне такую секретную информацию держать, а как альтернатива пин-коду — вполне нормальная вещь.
      • UFO just landed and posted this here
          +1
          Всё то же самое, как ломали 5S. Процесс подробно описан habrahabr.ru/post/194732/ (->ссылка на инструкцию) хотя со временем он усложнился и был отточен до автоматизма.
          т.е. просто украсть отпечаток?
          Да.
          +5
          Ну я не знаю чего люди ждут от сканера отпечатков пальца в телефоне, я лишь вижу не плохую альтернативу пин коду, не более.
            0
            Альтернатива плохая. Пин-код можно подсмотреть, а отпечаток можно скопировать. Но пин можно и нужно менять, а отпечатки — на всю жизнь.
              0
              Для этого нас наградили десятью пальцами, а особо изворотливых двадцатью
                +1
                Наши админы заставляют нас менять пароли раз в месяц. Такими темпами, придется раз в год менять сотрудников целиком. А особо изворотливые смогут продержаться два года :)
            0
            Интереснее, что разрешается делать с биометрической информацией сторонним приложениям (да и самому самсунгу тоже). То, что сенсов в телефоне не обладает высокой стойкостью, и так понятно было.
              0
              Обычно там хеши, от которых за пределами сканера никакого толку.
              +1
              Использование биометрии в целях отличных от идентификации противоречит здравому смыслу. Однако, маркетологов и сейлзов такие мелочи не остановят.
                0
                Не совсем понял, на видео сперва пользователь забивает в телефон свой отпечаток указательного пальца, показывает, что отпечаток со среднего не работает, потом делает чем то похожим на пластелин «копию» своего большого пальца и она работает? У нас на большом и указательном пальцах одинаковый отпечаток?
                Напоминает анекдот про брезгливость и сообразительность.
                  +1
                  Походите же по ссылкам. Он большим пальцем «прилепляет» заранее изготовленную копию отпечатка указательного пальца на средний.
                    0
                    Понятно, спасибо, действительно, если присмотреться, на этом пластелине видно отпечаток еще до прилепливания
                  +2
                  Нельзя полагаться на защиту при помощи сканера отпечатков пальцев на устройстве, которое этими отпечатками обычно заляпано.
                    0
                    Нормальные сканеры отпечатков сложнее, там такое не пройдет, но и стоят они на порядок больше, и компактностью не отличаются
                      0
                      deleted
                        +1
                        Что в случае с 5S, что сейчас, не могу понять. Это сканер отпечатков пальцев в кнопке телефона, я изначально полагал что если сделать слепок пальца, то сканер сочтет его валидным. Да понимаю что видимо есть промышленные устройства со сканерами, которые могут отличить живой палец, от мертвого или пластилинового, но почему в данном случае и случае с 5S это называют уязвимостью? Разве производитель заявлял что сканер может отличить настоящий палец, от куклы? Вроде говорили именно о распознавании отпечатка и по-моему все в порядке, он ведь не на любой палец открывает, а на копию вашего.
                          0
                          Группа CCC напоминала и продолжает напоминать, что даже промышленные сканеры уязвимы. Ломают и продолжают ломать. Как? Да точно так же, с поправкой на форм-фактор и пару мелких деталей. Насчёт «которые могут отличить живой палец» — прошу ссылок на примеры сканеров, которые могут. Будет замечательно, если там будет информация «как».
                            +2
                            Так я о том и говорю, это by design фича, а уже второй раз пишут что это уязвимость.
                          0
                          Отличное наглядное доказательство того, что даже самые навороченные сканеры можно обмануть:
                          отрывок из эпизода Mythbusters

                          Так что удивляться тому, что встроенный в телефон сканер реагирует далеко не только на сам палец, но и его простые копии — не стоит
                            0
                            мне просто нравится нажать подержать — разблокировался. От жены спасет. В кармане сам звонить не начнет. Нету секретных данных у меня в телефоне что бы мной интересовались.

                            Only users with full accounts can post comments. Log in, please.