Взломан сканер отпечатков пальцев Samsung Galaxy S10 – вот что нужно знать
Внимание: хакер показал, как легко взломать защиту Samsung Galaxy S10.
Одним из главных нововведений в новых смартфонах Samsung Galaxy S10 стал сканер отпечатков пальцев «в дисплее» в моделях S10 и S10+. Очень важно, что было не просто удобство встроенного сканера в экран. По заявлениям Samsung, он также обеспечивает дополнительную безопасность благодаря ультразвуковому датчику отпечатков пальцев вместо традиционного оптического считывателя. Впрочем, сразу было понятно, что ничего идеального нет. Создание сложной трехмерной карты вашего отпечатка пальца – задача нетривиальная. Теперь кажется, что Samsung только что доказал свою неправоту, поскольку исследователь безопасности продемонстрировал, как он обманул сканер отпечатков пальцев с помощью 3D-отпечатанной копии. И это фиаско для Samsung.
Samsung Galaxy S10 – как работает ультразвуковой отпечаток пальца?
Отличие ультразвукового сканера отпечатков пальцев в смартфонах Galaxy S10 и S10+ по сравнению с более традиционными емкостными сканерами заключается в том, что он может захватывать 3D-изображение, а не 2D-изображение. Используя высокочастотные ультразвуковые волны, сканер может отобразить отпечаток пальца в удивительной детализации, которая включает в себя такие вещи, как рельеф и поры, а не только «плоский» узор, который мы привыкли видеть. Он делает это, передавая ультразвуковой импульс на ваш палец, а затем анализируя давление импульса, который отскакивает от него. Это будет отличаться каждый раз, так как каждый отпечаток пальца будет поглощать различное количество волнового давления, и поэтому будет создана уникальная трехмерная карта. Карта, которая фиксирует данные глубины в разных точках на сканере, что делает полученную карту очень детальной во всех измерениях. Вроде все отлично. Но что пошло не так?
Смотрите:
Samsung Galaxy S10 – как хакер сломал сканер?
На самом деле со сканером все в порядке. К сожалению, исследователь (darkshark9) смог применить обычную фотографию своего отпечатка пальца с бокала и, используя Photoshop, создать из него альфа-маску. Затем эта маска была экспортирована в программное обеспечение 3ds Max для создания смещения геометрии для получения высокодетализированной и рельефной трехмерной модели. Далее это уже было делом техники напечатать эту модель на принтере AnyCubic Photon LCD, который имеет уровень точности до 10 микрон. Это обеспечило правильную визуализацию всего отпечатка пальца. Время печати составило 13 минут, после чего получившийся фальшивый отпечаток пальца каждый раз открывал Galaxy S10. Ранее мы написали, что хакер обманул сканер, но на самом деле это не совсем так, поскольку клонированный отпечаток пальца точно такой же, как и оригинал, поэтому сканер распознал все корректно. Вопрос в самой технологии.
Samsung Galaxy S10 – есть ли реальный риск безопасности?
Ну, это действительно зависит от того, кто вы, какие данные на вашем смартфоне и насколько сильно кто-то хочет получить к нему доступ. В то время как darkshark9 утверждает, что «ничто не мешает мне украсть ваши отпечатки пальцев без вашего ведома», и далее, что «если я украду чей-то смартфон, его отпечатки пальцев уже не нужны», то правда заключается в том, что для этого потребуется идеальное совпадение обстоятельств. Для некоторых очень известных людей риск такого сценария атаки действительно существует. А что с обычными пользователями? Несомненно, если бы кто-то украл ваш смартфон, он теоретически мог бы получить доступ не только к вашим личным данным, но и к вашему банковскому счету, поскольку большинство из них теперь используют идентификацию отпечатка пальца для аутентификации пользователя в приложении. Это предполагает, что у человека, который его украл, также есть 3D-принтер и технические навыки для создания отпечатка клона, а также желание сделать это, что вполне является предположением.
С другой стороны, для стран вроде России, где развиты платежи с помощью смартфона, это может быть проблемой. Мы храним деньги на картах, првязанных к электронным кошелькам, и единственное, что отделяет их от транзакции (оплаты или перевода) – это отпечаток пальца. Который уже взломан.
Samsung Galaxy S10 – надо ли прекратить использование отпечатка пальца в смартфоне?
Скорее всего, нет. Всегда будет компромисс между удобством и безопасностью, поэтому большинство людей не используют ПИН-код или пароль. Большинство экспертов по безопасности считают, что оба метода аутентификации обычно считаются более безопасными, чем биометрические данные отпечатков пальцев, но оба они также более сложны в плане запоминания и ввода кода. Вот почему многие люди постоянно разблокируют свои телефоны, не требуя такой аутентификации. Биометрические данные, такие как распознавание лиц и отпечатков пальцев, преодолевают это, будучи «достаточно безопасными» для большинства людей, не добавляя неудобств для пользователя.
«Весь процесс биометрической аутентификации на потребительском уровне электроники никогда не будет очень безопасным», – соглашается Ян Торнтон-Трамп, глава отдела кибербезопасности в AmTrust Europe, – «Я не фанат распознавания лиц, распознавания голоса или аутентификации по отпечаткам пальцев, но потребители этим все равно будут пользоваться». Если выбирать между устройство без защиты и с защитой по отпечатку пальца, конечно, второе всегда лучше. Этот совет остается неизменным в свете взлома Galaxy S10. На самом деле, даже сам darkshark9 говорит, что ультразвуковой сканер отпечатков пальцев S10 безопаснее, чем оптические или емкостные датчики других смартфонов. «Оптические датчики можно обмануть простым сканированием и распечаткой отпечатка пальца на бумаге, – отмечает он, – ультразвуком нельзя». И еще важный момент: сканер отпечатков пальцев, безусловно, более безопасен, чем распознавание лиц, которое можно обмануть обычным видео владельца, расположенным перед смартфоном. Помните об этом, если часто расплачиваетесь смартфоном и храните на привязанных картах большие суммы. Поделитесь ссылкой с друзьями, знакомыми и близкими, чтобы они тоже узнали – для этого нажмите на кнопки соцсетей ниже.
Автор: Виктор Лопатин, специально для Soskidkami.ru
