Оказывается, сканер радужки глаза в смартфоне Samsung Galaxy S8 тоже можно обмануть. А сама процедура обхода системы система биометрической идентификации не требует использования каких-либо дорогостоящих и высокотехнологичных устройств, сообщает Motherboard.
Об этом сообщили участники немецкого сообщества в сфере защиты данных Chaos Computer Club. Они также опубликовали инструкцию по обходу сканера радужки глаза в смартфоне Samsung Galaxy S8.
Как выяснили хакеры, для разблокировки достаточно сделать цифровую фотографию глаза в ночном режиме съемки или отключив на камере инфракрасный фильтр.
После небольшой обработки, которая может включать изменение яркости и контрастности, фотографию глаза нужно распечатать на лазерном принтере (авторы исследования иронично отмечают, что наилучшего результата им удалось добиться при помощи принтеров Samsung).
В последнем этапе хакеры наложили на снимок контактную линзу для имитации настоящего глаза, такое изображение телефон воспринимает как настоящий глаз. После этого система биометрической идентификации по радужной оболочке глаза Samsung Galaxy S8 капитулировала.
Участники Chaos Computer Clubs обращают внимание на то, что таким путем можно получить доступ к платежному сервису Samsung Pay.
«Если вы дорожите данными на смартфоне или хотите использовать его для совершения платежей, то использование традиционного PIN-кода является более надежным подходом, чем биометрическая аутентификация», - отметил представитель ССС Дирк Энглинг (Dirk Engling).
Как говорится на сайте Samsung, сканер радужки глаза - одна из самых безопасных систем биометрической идентификации, поскольку радужку нельзя скопировать так же легко, как и отпечаток пальца. Ранее мы уже , что данную модель телефона удалось разблокировать просто поднеся телефон с фотографией владельца смартфона.
Позднее информацию о продемонстрированном методе обхода сканера радужной оболочки прокомментировали в Samsung:
«Компании известно об этом сообщении. Samsung заверяет пользователей, что технология распознавания радужной оболочки глаза в Galaxy S8 была разработана и внедрена после тщательного тестирования, чтобы обеспечить высокий уровень точности сканирования и предотвратить попытки несанкционированного доступа.
Описываемый в упомянутом материале способ может быть реализован только с использованием сложной техники и совпадении ряда обстоятельств. Нужна фотография сетчатки высокого разрешения, сделанная на ИК-камеру, контактные линзы и сам смартфон. В ходе внутреннего расследования было установлено, что добиться результата при использовании такого метода невероятно сложно.
Тем не менее, даже при наличии потенциальной уязвимости, специалисты компании приложат все усилия, чтобы в кратчайшие сроки обеспечить безопасность конфиденциальных и личных данных пользователей».
Подписывайтесь на Квибл в Viber и Telegram , чтобы быть в курсе самых интересных событий.
Распознавание лица и радужной оболочки глаза на Samsung Galaxy S8 одна из нашумевших и спорных инноваций. Насколько работает этот функционал, удобен ли и можно ли им пользоваться? Попытаюсь ответить на эти вопросы исходя из месяца пользования аппаратом.
Распознавание лица Samsung S8
Не очень понятно, почему народ так сильно возбудился от распознавание лица - эта возможность была уже давно и во многих телефонах. Никто не скрывал, что блокировка лицом обходится фотографией, более того, в телефоне есть соответствующее предупреждение о низкой надежности данного метода. Вопрос в другом, кому нужно вскрывать телефон вашей фотографией? Для большинства владельцев эта угроза находится в области теоретических страшилок.
Главный недостаток распознавания лица на Samsung S8 - плохое распознавание в условиях со слабой освещенностью. Так как Samsung S8 использует обычную, а не инфракрасную камеру, в сумерках распознавание лица начинает сбоить, в темноте не работает вообще. Кроме того, камера плохо распознает лицо, если его часть закрыта очками, или на половину лица падает сильная тень (например от кепки) или вы дико хохочете (сильно искажена форма лица) т.п.
Плюсы - в сравнении с распознаванием сетчатки (см. ниже), лицо распознается под бОльшими углами и на бОльшем расстоянии (до 70 см). Особо отмечу, что больше не только угол между лицом и телефоном, но и между поверхностями лица и поверхностью телефона.
Второй плюс - скорость распознавания. В хороших условиях освещенности телефон разблокирутеся практически мгновенное.
Наличие на Samsung S8 виртуальной кнопки "домой" позволяет разблокировать телефон лицом, не поднимая его со стола. В этом случае голову необходимо немного наклонить к телефону или даже просто посмотреть на него. Чем ближе телефон на столе лежит к вам, тем быстрее и увереннее происходит распознание.
Первый совет - так как Samsung S8 фиксирует плоскую картинку, при регистрации лица делайте снимок немного снизу, именно в таком положении ваше лицо чаще всего будет по отношению к смартфону. Не обязательно снимать на уровне глаз. Вообще, если есть проблемы с распознаванием, поэкспериментируйте несколько раз.
Второй совет - распознавание лица происходит быстрее, если вы направляете взор на камеру, в верхнюю часть телефона, а не на экран смартфона. В крайних положениях смартфон может вообще не распознать лицо или распознавать долго, если вы будете смотреть в центр экрана. Стоит поднять взор и распознавание "случится".
Ускоренное распознавание или обычное?
"Обычное" распознавание по информации Samsung более защищено от "взлома", однако работает оно ощутимо дольше "ускоренного" и более критично к ориентации смартфона относительно лица. На мой взгляд не вариант. По умолчанию предлагается "ускоренное" распознавание лица.
Если вы так обеспокоены безопасностью, то лучше использовать сканер оболочки глаза.
Распознавание радужной оболочки глаза Samsung S8
Технология распознавание радужной оболочки глаза только приобретает популярность в мире. Она тоже не гарантирует 100% защиту, обойти ее теоретически можно, но требует значительных ресурсов (как и в случае с обходом распознавания лица в iPhone X). Вряд ли обычному пользователю стоит беспокоиться об этом.
Главный плюс - работает при любой освещенности, так как камера инфракрасная. Работает достаточно быстро, хотя скорость сильно зависит от положения лица и смартфона относительно друг друга. Можно полностью закрыть лицо, оставив только глаза, это никак не скажется на распознавании.
Из минусов:
Угол обзора и расстояния для считывания камеры меньше, чем при распознавании лица, соответственно смартфон нужно держать ближе и ровнее. Небольшой наклон головы и глаза не попадают в объектив. Если распознавание не сработало, на экране может появиться видеоподсказка - ваше лицо и окружности, куда нужно направить глаза.
В обычных диоптрийных очках работает только при расположении смартфона напротив глаз. В простых линзах также наблюдается незначительное ухудшение распознавания.
Если телефон лежит на столе, то нужно в некотором смысле нависнуть над телефоном, чтобы зрачки попали в зону видимости камеры и телефон разблокировался. Не вариант.
Совет - для разблокирования лучше всего смотреть на красный светодиод, который включается при сканировании радужки, благо он и так привлекает взор.
Эта привычка вырабатывается быстро и заметно повышает скорость разблокировки телефона.
Где чаще всего не срабатывают разблокировки по распознаванию?
Основное проблемное место, как отмечают и владельцы iPhone X - это автомобиль. Необходимость поднимать телефон к лицу, а в случае с Самсунгом добавляются помехи в виде очков и плохих условий освещенности - все это затрудняет распознавание. Впрочем, у меня автомобиль включен в список доверенных устройств и телефон в нем не блокируется, поэтому распознавать ничего не нужно.
Разблокировка по отпечатку пальца.
Если распознавание не произошло, можно разблокировать телефон по пин-коду(рисунку) или отпечатку пальца. Страхи о чрезвычайно загрязняемости объектива сильно преувеличены. Не знаю как у кого, но с моей длиной пальцев промазать мимо сканера и попасть в объектив физически неудобно. Когда берешь аппарат, палец сразу ложится в "правильное" место. Впрочем, похоже в моем случае этому помогает тонкий защитный бампер, одетый на смартфон - место под сканер отпечатков отделено бортиком и он помогает не ошибаться.
Подытожу
Оба типа распознавания в Samsung S8 работают неидеально. В 40% случаев телефон разблокируется быстро, в 20-30% приходится слегка перепозиционировать (немного менять наклон или распложение) телефон или голову. В оставшихся случаях либо идет сильное перепозиционирование, либо разблокировка происходит отпечатком пальца.
Сканирование лица работает быстрее и в больших диапазонах по размещению смартфона относительно головы, сканирование радужки глаза более надежно и работает в больших диапазонах по условиям освещенности.
Распознавание iPhone X vs Samsung Galaxy S8
Сравнить один к одному с распознаванием iPhone X не могу, нет его у меня. В магазинах стоят демо-образцы, они не дают "зашить лицо" в систему. FaceID проверить можно только в демонстрационном режиме по нажатию кнопки.
В таком демо-режиме в условиях нормальной освещенности торгового зала распознавание лица Samsung Galaxy S8 работает почти мгновенно, сканирование радужки чаще всего быстрее или наравне с iPhoneX. Еще раз повторюсь, в боевом режиме проверить не удалось.
В целом нужно отметить, что распознавание в iPhone Х должно быть реализовано лучше в силу использования более современных технологий. Преимущество будет при работе в плохих условиях освещенности, в случаях частично закрытия глаз или лица.
Определенным минусом iPhone Х считаю отсутствие сканера отпечатка пальца. Бывают случаи, когда нужно скрытно разблокировать телефон, не поднимая его к лицу, сканер пальца в этой ситуации хорошо выручает.
Впрочем, мне кажется, что сама идея распознавания лица или радужки все равно не будет работать на 100%, так как требовательна к позиционированию смартфона относительно лица. Как только удастся сделать нормальный сканер отпечатка пальца, встроенный в экран, производители должны вернуться к этому решению и будут их использовать совместно. Статистика показывает, что 60% владельцев Samsung S8 продолжают использовать в качестве основного способа разблокировки сканер отпечатка пальца, остальные используют сканеры либо совмещают оба метода.
В целом о Samsung Galaxy S8 могу написать отдельный отчет, если есть вопросы - пишите, отвечу.
24.05.2017, Ср, 12:12, Мск , Текст: Роман Георгиев
Сканер сетчатки глаза, встроенный в смартфон Samsung Galaxy S8, можно обмануть с помощью фотографии, утверждают исследователи из Chaos Computer Club. Хотя сканер и понимает разницу между плоским изображением и объемными объектами, оказалось, что достаточно наклеить на фото контактные линзы, чтобы сбить этот инструмент с толку.
Обман сканера сетчатки
Эксперты Chaos Computer Club продемонстрировали способ обхода одного из ключевых инструментов биометрической авторизации, которыми оснащен новый флагманский смартфон Samsung S8. Сканер сетчатки глаза удалось обмануть с помощью фотографии и контактных линз.
S8 - это уже вторая серия смартфонов Samsung, оснащенная сканером сетчатки. Первой была линейка Galaxy Note 7. Эти устройства производитель был вынужден отозвать из-за многочисленных случаев перегрева и возгорания батарей. Таким образом, S8 стал первым смартфоном, пользователи которого смогли оценить сканер сетчатки, равно как и другие средства биометрической авторизации. В частности, сканер отпечатка пальца и сканер лица.
Как и отпечаток пальца, сетчатка глаза уникальна для каждого человека. Однако способы обманывать сканеры отпечатков пальцев известны давно. Теперь нашелся довольно простой и в чем-то даже элегантный способ обмана еще и сканера сетчатки.
Камера, принтер, клей, контактные линзы
Инженеры Samsung предусмотрели вероятность того, что сканер будут пытаться обмануть с помощью фотографий, поэтому оснастили его детектором глубины. Однако исследователю Chaos Computer Club Яну Крисслеру (Jan Krissler) пришло в голову сымитировать объем с помощью контактных линз, наклеенных на глаза на фото. И этот трюк сработал.
Сканер сетчатки Samsung обманули с помощью фотографии и контактных линз
Таким образом, если у злоумышленника есть физический доступ к смартфону, заблокированному с помощью сканера сетчатки, для разблокирования ему понадобится в меру крупная фотография лица владельца устройства, распечатанная на цветном принтере (причем лучше всего подходят как раз принтеры Samsung), пара контактных линз и клей.
Проблема серьезнее, чем кажется
В то время как такой способ обмана сканера сетчатки выглядит в меру курьезно, продемонстрирован сам факт уязвимости этого инструмента. Между тем, именно сканер сетчатки Samsung планировал использовать как основной способ авторизации в своей собственной системе электронных платежей Samsung Pay. То есть, в случае попадания такого смартфона в руки злоумышленнику, под угрозой будут не только хранящиеся на нем данные, но и финансы его прежнего пользователя.
«По большому счету, сегодня не существует универсальных, неуязвимых способов авторизации, - говорит Дмитрий Гвоздев , генеральный директор компании "Монитор безопасности". - Уязвимые места или способы обхода рано или поздно находятся у всех подобных инструментов, даже у биометрических сканеров, когда-то считавшихся образчиком надежности. Наиболее верным подходом к защите будет использование комбинации из сразу нескольких способов авторизации. Это не всегда удобно для пользователей, но тут остается выбирать, что важнее: удобство или защищенность данных на устройстве».
Хакеры обвели вокруг пальца сканер глаза в новых телефонах Samsung. Разблокировать смартфон удалось с помощью фотографии. Ударит ли это по имиджу компании?
Samsung в последнее время преследуют неудачи: сначала начали загораться телефоны, потом взрываться стиральные машинки, теперь сканеры заболели излишней доверчивостью. Насколько новость ударит по компании?
«Пока я не думаю, что это может вызвать отток пользователей, выбрасывание трубок и так далее. Но люди, конечно, с осторожностью будут относиться к возможным каким-то операциям, связанным с платежными системами, с тратой денег. Возможно, будут использовать другие возможности, как пин-код. Но в любом случае компании всегда находятся в некой такой конфронтации с хакерами, с людьми, которые совершают противоправные действия. Одни борются за создание систем защиты, а вторые борются за создание систем, которые отпирают защиту. И на самом деле, этот процесс постоянный».
В последние годы число различных способов разблокировки смартфона постоянно растет. Кроме стандартного пароля, есть сканер отпечатков, есть голосовая разблокировка, сканирование лица, сканирование радужной оболочки. Насколько безопасны эти технологии?
«Если углубиться в принцип действия подобных технологий, скажем, сетчатки глаза либо отпечатка пальца, то достаточно вспомнить, как телефон предлагает нам это сделать. Мы несколько раз прикладываем палец к телефону, как правило, три раза, и телефон усредняет это значение и заносит в память. То же самое с сетчаткой глаза. То есть это не 100-процентный результат, это опять же некий усредненный. Поэтому я не удивляюсь, что хакерам удалось взломать подобные телефоны, поскольку достаточно средний рисунок глаза либо опечатка пальца подобрать и взломать».
По данным ФБР, ведомству удается разблокировать почти половину мобильных устройств подозреваемых, когда возникает такая необходимость. С одной стороны, это означает, что более половины девайсов не могут разблокировать даже американские спецслужбы. С другой стороны, ни один пользователь новых технологий не защищен на 100%.
«Персональная защита именно разблокировки телефона любыми методами все-таки, в первую очередь, предназначена для сохранности вашей информации от кражи телефона в случае хулиганства. Но если мы говорим о серьезных намерениях получить вашу информацию с мобильного гаджета, я сомневаюсь, что ее будут получать с помощью разблокировки вашего телефона и непосредственно отбора у вас этого телефона. Ее получат, я уверен, с обратной стороны, из Сети».
Новость об уязвимости сканера радужной оболочки имеет особую актуальность в России , где несколько дней назад заработала система Android Pay. Теперь возможность расплачиваться за покупки с помощью телефона доступна миллионам, если не десяткам миллионов россиян. Ждать ли массовых краж денег с виртуальных карт? Ну, если вас могут сфотографировать и украсть у вас телефон, точно так же смогут сфотографировать момент ввода пин-кода и украсть у вас банковскую карту. Быть осторожным стоит, но повода для паники нет.
Ситуацию прокомментировали в Samsung:
«Компании известно об этом сообщении. Samsung заверяет пользователей, что технология распознавания радужной оболочки глаза в Galaxy S8 была разработана и внедрена после тщательного тестирования, чтобы обеспечить высокий уровень точности сканирования и предотвратить попытки несанкционированного доступа. Описываемый в упомянутом материале способ может быть реализован только с использованием сложной техники и совпадении ряда обстоятельств. Нужна фотография сетчатки высокого разрешения, сделанная на ИК-камеру, контактные линзы и сам смартфон. В ходе внутреннего расследования было установлено, что добиться результата при использовании такого метода невероятно сложно».
