Для обмана датчика нужны лишь фотография глаза, контактная линза и клей.
Как сообщают исследователи из Chaos Computer Club (CCC), фотографии глаза вполне достаточно для того, чтобы обмануть сканер радужной оболочки в новых Samsung Galaxy S8. Предназначенный для аутентификации пользователя сканер радужки глаза впервые появился в прошлогодних фаблетах Galaxy Note 7. Функцию так и не успели оценить по достоинству, поскольку из-за проблем с самовозгорающимися аккумуляторами устройства были отозваны, а их выпуск прекращен.
Для обмана сканера радужной оболочки глаза экспертам потребовалось менее двух месяцев. Как предположил один из исследователей Ян Крисслер (Jan Krissler), кто угодно может сфотографировать лицо владельца Galaxy S8, распечатать снимок на бумаге, поднести его к фронтальной камере смартфона и тем самым разблокировать устройство. Однако здесь кроется загвоздка. Современные сканеры радужки глаза способны отличать объемное изображение от плоского. Поскольку глаз человека круглый, датчик не срабатывает, если поднести к нему плоскую фотографию.
Крисслеру удалось решить данную проблему. Исследователь взял обычную контактную линзу, приклеил ее поверх фотографии глаза и таким образом сделал изображение объемным. Этого оказалось вполне достаточно для разблокировки телефона.
Для лучшего результата Крисслер рекомендует фотографировать глаз в режиме ночной съемки. В данном режиме радужка глаза у темноглазых людей получится отчетливее. По иронии судьбы, наиболее качественное изображение эксперт получил, распечатав снимок на лазерном принтере производства все той же Samsung. Фотографировать лучше всего цифровым фотоаппаратом с 200 мм объективом на расстоянии до 5 метров. Отметим, учитывая огромное количество доступных в интернете качественных сэлфи, вовсе необязательно подстерегать жертву с целью сделать снимок.
Подобная атака представляет опасность не только потому, что позволяет разблокировать чужой смартфон. Samsung планирует использовать аутентификацию по радужке глаза для подтверждения платежей через Samsung Pay, а значит, атаку наверняка возьмут на вооружение жаждущие наживы хакеры.
Samsung Pay – разработанная Samsung служба мобильных платежей, позволяющая пользователям оплачивать покупки с помощью поддерживаемых телефонов и других устройств компании.
Ладно, не доказали. Но мы работаем над этим