Gli hacker tedeschi sostengono che sia inquietantemente semplice creare un "occhio fittizio" per ingannare la sicurezza biometrica del Galaxy S8.
Il telefono di fascia alta Galaxy S8 di Samsung sta cercando di portare la scansione dell'iride alle masse.
Il Chaos Computer Club (CCC) tedesco, un venerabile gruppo di hacker white-hat, afferma di aver scoperto un un modo relativamente semplice per ingannare il sistema di riconoscimento dell'iride sull'ammiraglia Galaxy S8 di Samsung smartphone.
Il CCC ha una lunga storia di imbarazzo nelle aziende tecnologiche dimostrando le vulnerabilità nei loro sistemi di autenticazione biometrica. Alcuni anni fa, gli hacker CCC ha mostrato come la fotografia dell'impronta digitale di un utente iPhone potrebbe essere utilizzata per creare un dito falso che il dispositivo Apple accetterebbe per lo sblocco.
Gli scanner per impronte digitali sono ovviamente comuni ora, ma il telefono di fascia alta di Samsung sta cercando di portare la scansione dell'iride alle masse. Secondo il CCC,
è un errore poiché è inquietantemente semplice creare un "occhio fittizio".Un video CCC (vedi sotto) mostra quanto sia semplice il trucco. In esso, qualcuno utilizza la modalità notturna di una normale fotocamera digitale Sony per scattare di nascosto una foto a infrarossi degli occhi dell'utente del telefono, da una distanza moderata.
Chaos Computer Club ha realizzato un video per mostrare come è possibile ingannare lo scanner dell'iride di Samsung.
Fonte: CCC
L'immagine viene ritagliata e stampata, sfacciatamente, su una stampante Samsung a grandezza naturale. Una lente a contatto viene posizionata sull'iride stampata, per conferirle la curvatura appropriata, e il Galaxy S8 la accetta come autenticazione per lo sblocco del telefono.
Come ha notato il collettivo di hacker, Samsung Pay, che lanciato nel Regno Unito proprio la scorsa settimana, offre agli utenti la possibilità di utilizzare la scansione dell'iride o delle impronte digitali per autorizzare i pagamenti.
"Se apprezzi i dati sul tuo telefono e possibilmente vuoi usarli anche per i pagamenti, usare la tradizionale protezione tramite PIN è un approccio più sicuro rispetto all'utilizzo delle funzionalità del corpo per l'autenticazione," disse Il portavoce del CCC Dirk Engling.
"Il rischio per la sicurezza dell'utente derivante dal riconoscimento dell'iride è ancora maggiore rispetto a quello delle impronte digitali poiché esponiamo molto le nostre iridi. In alcune circostanze, un'immagine ad alta risoluzione presa da Internet è sufficiente per catturare un'iride."
Né Samsung né Princeton Identity, la società che produce il modulo di riconoscimento dell'iride per il Galaxy S8, hanno risposto ad una richiesta di commento al momento della stesura di questo articolo.
Tuttavia, Lo dice la homepage di sicurezza del Samsung Galaxy S8, "Abbiamo a cuore la tua privacy. Per questo motivo abbiamo reso i Galaxy S8 e S8+ i nostri telefoni più sicuri fino ad ora. C'è uno scanner dell'iride per la massima tranquillità."
Princeton Identity è un recente spin-off del gruppo di ricerca statunitense SRI International ed è finanziato principalmente da Samsung Ventures.
Il CCC esiste ormai da 35 anni e da tempo mette in guardia contro l’uso dell’autenticazione biometrica.
Quasi un decennio fa, è riuscito a ottenere le impronte digitali dell'allora ministro degli Interni Wolfgang Schäuble, ora ministro delle finanze tedesco, da un bicchiere che il ministro ha utilizzato durante un evento.
Il gruppo ha distribuito manichini delle impronte digitali di Schäuble nel tentativo di protestare contro la memorizzazione delle impronte digitali dei tedeschi nei passaporti elettronici del paese.
Ulteriori informazioni sul Samsung Galaxy S8
- Frustrato nello sbloccare il tuo Samsung Galaxy S8? Abilita Google Smart Lock
- Il Galaxy S8 di Samsung ha un grosso difetto di progettazione
- Otto motivi per cui Samsung Galaxy S8 e S8 Plus sono utili per gli affari