Skaner odcisków palców w Galaxy S5 zhakowany
Członkowie grupy SRLabs, która zajmuje się testowaniem zabezpieczeń komputerowych sprawdzili, czy skaner linii papilarnych, montowany w najnowszych smartfonach Samsunga - Galaxy S5, uwierzytelni "podrobiony" odciska palca.
Metoda znana szerzej jako "fingerprint spoofing" została zastosowana przez grupę SRLabs po raz pierwszy podczas testowania skanera linii papilarnych montowanego w najnowszych iPhone'ach (5S). Zarówno w przypadku sprzętu Apple jak i Samsunga metoda działa z prawie 100. skutecznością i sprawia, że jesteśmy coraz mniej przekonani do metody uwierzytelniania za pomocą odcisku palca.
Użytkowników iPhone'a może pocieszyć fakt, że dodatkowa weryfikacja za pomocą podania staromodnego, czterocyfrowego hasła wymagana jest za każdym razem, kiedy włączamy nasz telefon. Inżynierowie Samsunga widocznie stwierdzili, że takie zabezpieczenie jest zbędne i będzie tylko irytować użytkowników - posiadając odcisk palca właściciela telefonu, nie musimy martwić się, że nie będziemy mogli odblokować go, gdy się wyłączy.
Test Samsunga przeprowadzono krótko po tym, jak firma ogłosiła swoją współpracę z PayPal. Samsung Galaxy S5 jako pierwszy smartfon w historii umożliwia klientom logowanie do dowolnego sklepu korzystającego z systemu PayPal za pomocą czytnika linii papilarnych. Nowa funkcja eliminuje potrzebę zapamiętywania danych do logowania, takich jak nazwa użytkownika czy hasło. I trzeba przyznać, że nowa funkcja działa doskonale, nawet z podrobionym odciskiem.
Sam odcisk palca został wykonany następująco, przy okazji testów iPhone'a 5S:
Na odkrycie niemieckiej grupy bardzo szybko zareagował sam PayPal. Portal wydał następujące oświadczenie:
_ O ile traktujemy odkrycie Security Research Labs bardzo poważnie, nadal jesteśmy przekonani, że weryfikacja za pomocą odcisku palca jest bezpieczniejszym i łatwiejszym sposobem dokonywania płatności za pomocą urządzeń mobilnych w porównaniu do korzystania z tradycyjnych haseł, czy kart kredytowych. PayPal nie przechowuje, ani nawet nie posiada dostępu do odcisków palców przechowywanych na Galaxy S5. Autoryzacja za pomocą odcisku palca odblokowuje zabezpieczony kryptograficznie klucz, który zastępuje standardowe hasło i za pomocą którego, użytkownik loguje się na swoje konto PayPal za pomocą swojego telefonu. Możemy po prostu deaktywować klucz znajdujący się na skradzionym, bądź zgubionym urządzeniu, a nasz użytkownik wystarczy, że wygeneruje sobie nowy klucz. PayPal korzysta również z zaawansowanych narzędzi, których zadaniem jest zapobieganie oszustwom zanim zostaną popełnione. A nawet jeśli ktoś uzyska nielegalny dostęp do konta naszego użytkownika, jest on chroniony przez naszą politykę ochrony
transakcji. _