Sledujte nás na YouTube

Galaxy S8: čtečka duhovky prolomena fotografií a kontaktní čočkou (aktualizováno)

Smartphony Samsung Galaxy S8 a S8+ je možné zabezpečit mnoha způsoby, byť některé jsou na místě spíše pro pohodlnou a rychlou autentizaci. Technologii rozpoznávání obličejem například snadno ošálíte pouhou fotografií (více informací), proto tato bezpečnostní metoda není povolena pro potvrzování plateb. Ty lze potvrzovat pouze otiskem prstu nebo skenem duhovky, ovšem ani to zdá se není neprolomitelné.

Skupina výzkumníků z Chaos Computer Club úspěšně obalamutila čtečku duhovky, a to poměrně snadným způsobem. Základem je kvalitní fotografie obličeje ze střední vzdálenosti pořízená nočním režimem, kdy senzor pracuje s infračerveným světlem. Infračervený snímek oka je pak zapotřebí vytisknout na tiskárně (tvůrci videa ironicky použili tiskárnu od Samsungu) a učinit jej trojrozměrným přiložením kontaktní čočky.

Telefon pak tento snímek vnímá jako skutečné oko a autentizaci provede bleskurychle. Podle Samsungu je čtení oční duhovky vůbec nejbezpečnější způsob autentizace, avšak toto video dokazuje, že ani na něj se nelze stoprocentně spolehnout.

Aktualizováno 29. května o vyjádření společnosti Samsung

O nahlášeném případu víme, rádi bychom však zákazníky ujistili, že technologie skenování oční duhovky, použitá v telefonech Galaxy S8, procházela při svém vývoji důkladným testováním, abychom dosáhli vysoké přesnosti rozpoznávání a zamezili tak pokusům o průlom zabezpečení, např. pomocí přeneseného obrazu duhovky.

To, co ohlašovatel tvrdí, by bylo možné pouze za velmi vzácného souběhu několika okolností. Vyžadovalo by to velmi nepravděpodobnou situaci, kdy by se v nepovolaných rukách ocitl obraz duhovky vlastníka smartphonu, pořízený infračervenou kamerou a ve vysokém rozlišení, dále jeho kontaktní čočka a rovněž samotný smartphone – to všechno ve stejný okamžik. Provedli jsme interní pokus o rekonstrukci takové situace za takových okolností a replikovat výsledek popsaný v ohlášení se ukázalo být velice těžké.

Pokud však existuje hypotetická možnost průlomu zabezpečení nebo je na obzoru nový způsob, který by mohl ohrozit naše snahy o nepřetržité přísné zabezpečení, budeme případ neprodleně řešit,“ uvedl David Sahula, PR manager Samsung Electronics Czech and Slovak.

Jakub Karásek

Redaktor serveru SMARTMania.cz, příznivec mobilních technologií, konvertibilních zařízení a bezdrátového nabíjení, fanoušek tvrdé hudby a milovník rychlé jízdy v motokárách, na kole a na lyžích. Odpůrce FUPu, pomalého internetu a přerostlých tabletofonů.

43 komentářů

  1. Dobrý fake.

  2. Dragereker (neregistrovaný)

    xzeit: čo ako? to video ?

    • Petr (neregistrovaný)

      Ne, xzeituv mozek. On fakuje, ze nejaky ma. Samsung mastu*rbator, ktery tady do krve nekriticky brani kazde upsouknuti. Nikdo ho nebere vazne.

      • Aha, tak Petřík nám nepochopil ironii. Ale tak vlastně, není čemu se divit. Že? Petře?

  3. Dobrý fail..

    • Bures (neregistrovaný)

      Fail jsi leda tak ty.
      Na 950 by sla jiste take obelstit ale kdo by si daval tu namahu.

      • Pletes se, zkouselo se a neobelstila.950 neni hracka.Takze fail to v podani Samsungu tedy je.Smir s tim. ????

  4. Však Samsung sám píše v manuálu, že čtečka duhovky není určena pro primarní zabezpečení a je nutné zvolit ještě jeden dodatečný způsob zabezpečení.

    Nevím čemu se tady divíte??? Fail to není, jen to není dokonalé, tak jako není dokonalý otisk prstu který se dá obejít vytištěným prstem na papíru……

    • Stas (neregistrovaný)

      Potom tam ale vubec nemusela byt. Pokud ji zapnes a nekdo dalsi odemkne telefon pomoci zpusobu popsanemu v clanku, tak je ti sekundarni zpusob odemceni k nicemu.

    • No to ale není moc stejné téma. Jako sorry, ale tvůj “face” asi není plný dostatečně kvalitních snímků otisku pro možnost tisku, nebo ano?:) Tady je problém, že nad tímto obejitím opravdu nemáš kontrolu, u toho otisku aspoň něco můžeš ohlídat, zanechávání otisků, použít malíček, atd. Když už máš tu méně kvalitní čtečku otisku, které stačí jen obrázek.

      • Nooo, to teda nevim, jestli je argument, že prolomení čtečky je sice možné, ale ne tak jednoduše. Prostě to možné je. Já bych se spíš pozastavil nad jinou věcí, ve které mi ta čtečka přijde daleko nebezpečnější. Pořád je to ta čtečka otisku, kterou výrobci používají k autentizaci, hesla na internetu, banky apod. U těchhle alternativních způsobů odemykání nikdo bezpečí negarantuje (duhovka, face apod), tudíž když se vám tam někdo dostane, tak je to zpravidla vaše blbost, měli jste si dát heslo, byli jste upozorněni. Jenže čtečce věří jak lidé, tak výrobci, je kolem jí aura, že se prolomit “nedá”, ta důvěra je tak velká, že jde použít i k potvrzení bankovních údajů…a tady právě vyvstává ta otázka bezpečí.

      • A ta míra kontroly, no nevim. Člověk, co bude na mobilu používat čtečku otisků prstů asi nebude chodit všude v gumových rukavicích, stejně tak, jako člověk používající skener duhovky nebude mít na každý fotce zavřený oči :)

      • Menty: Nevím jak ty, ale já cestou do práce nechám otisk max. tak na čudlo dveří v MHD? který je do minuty překryt 5ti jinými. Obecně na veřejnosti otisk nějak nerozsévám, ani na sklenici piva. Zato onu duhovku máš ma místech, kde to ani nemusíš tušit, prostě obyč. sdílení fotografií nebo “nějak” odečteno když třeba jen koukáš do bankomatu (hypoteticky).
        Nikdo snad netvrdí, že je něco neprůstřelné (pokud vím, aktuálně snad jen krevní řečiště).
        To i to heslo je díra jako hrom, to má zaznamená půlka Prahy z kamer…

      • Já neřikám. Ale přijde mi to jako bagatelizování problému, kterej je skutečnej. Jak píšu, duhovkou si účet nezabezpečíš, otiskem ano. Takže bych asi i řekl, že je ten otisk sice těžší sehnat, nicméně všechno jde, když se chce. A když vezmu vpotaz, které informace se dají zabezpečit otiskem, tak je to určitě větší hrozba. Když už si dá někdo práci s tim, aby vytvářel prostředí duhovky, tak si dá určitě i dost práce s tim, aby sehnal otisky, když mu ještě k tomu všemu poskytnou daleko cennější informace.

      • Menty: Samozřejmě všechno jde když se chce. Takže návrat ke vkladním knížkám? Ale ty furt nechápeš pointu problému. Otisk prstu běžně nezískáš “od stolu”, potřebuješ na to buďto sejmout otisk z povrchu (pro biometrickou čtečku) nebo naskenování otisku (pro 3D skener povrchu). Ale tady máš bezpečnostní riziko, které jde zcela mimo tvou osobu. Projdeš kolem adekvátního snímacího zařízení a jsi nahranej. U otisku je potřeba víc, o dost víc. Jediné primitivnější než duhovka je zdá se jen heslo/PIN/gesto, které stačí prostě odpozorovat přes rameno…
        Ano, čtečka otisku/povrchu není dokonalá, ale je to jako s demokracií, je to to nejlepší, co máme.

      • uni: Já pointu naprosto chápu, protože je to jako vždy – čtečku má Apple, tak je to nejlepší, co máme, skener nemá, tak je to horší. Zkus si to ještě jednou přečíst. Skener oční duhovky je tu vpodstatě jen pro odemykání zařízení, stejně jako to rozpoznávání obličeje. Čtečka otisků prstů hlídá daleko citlivější informace. Upřímně, že se dostanu někomu do mobilu, tak fotky jeho kočky a pár prasáckejch konverzací, no upřímně nevim, k čemu by mi to bylo. Heslo je pořád nejbezpečnější, nějaké kamery, to jako myslíš vážně? I člověk, co bude dbát nejvyšší opatrnosti po sobě zanechá daleko víc otisků prstů, když zadávám heslo, tak ho prostě buď nikomu neřeknu, nebo si displej zakreju a je hotovo. Šance na získání nula. Otisky jsou všude, pokud by někdo nosil rukavice, ztrácí u něj význam tu čtečku používat. Já sám čtečku používám, protože je to pohodlné a rychlé, nicméně rizik jsem si vědom. Zas můj smartphone asi neskýtá tolik důležitých informací, aby po mně někdo musel sbírat otisky. Nicméně jo, rizika tady jsou. Takže tu pointu asi nechápu. Protože mi přijde daleko jednodušší se dostat k otisku (který člověk stejně dřív nebo později nevědomky někde nechá), než k heslu, které mi neřekne a bude si displej zakrývat tak, abych to neviděl.

      • Menty: Neskutečný, člověk ti to vysvětlí a ty hned na to ukázkově ukážeš, jak to nechápeš:/
        BTW: Apple nemá čtečku otisku prstu, ale ten 3D skener povrchu, ne náhodou to píšu, ale jako již mnohokrát a naposledy zde, prostě potřebuješ plkat bez znalosti věci nebo náznaku schopnosti vstřebat nějaké informace. Červený hadr na hlavu a hurá….

      • Uni:Tzv. skener povrchu má každá čtečka, která je kapacitní. Princip snímání je stejný. IPhone má ale jiné zpracování těch naskenovanych dát… Tak to už pochop ty.

      • xzeit: Ééé ne:) Je to jiný princip. Už to konečně pochop. To máš jako např. kryt na tablet. Ano, Apple SmartCover dělá to samé jako třeba kryt u Samsungu, ale není to stejně udělané, nemůže, Apple má patent. Proto vznikají jen různé více či méně podařené klony (jako u čtečky otisku prstu), ale není to stejné.

      • https://mobilizujeme.cz/clanky/ctecky-otisku-prstu-pod-drobnohledem-jak-funguji

        já nevím, hoď mi sem něco a přesvěč mě….apple má vychytané zpracování těch dat….to ano

      • xzeit: Tak už jen to, že v článku se vůbec nezmiňuje Apple, 3D Touch nebo AuthenTec jasně ukazuje na fakt, že se tohoto dané téma očividně netýká:) Navíc je tam další nefakt, že nelze kapacitní čtečku prolomit falzifikátem. Což lze (s pomocí vodivého inkoustu), který na 3D Touch nefunguje, protože se stále točíme kolem toho samého, jiný princip:)

        Už začínám být na tohle asi starej, furt dokola jak miminu….

      • zipiik (neregistrovaný)

        Puvodne jsem se dnes chtel jen pasivne unim bavit, ale popcorn dosel, coly mam uz dost, tak se zeptam. Uni, na jakem zazracnem pricipu tedy funguje ctecka 3D touch, pokud neni ani opticky, ani kapacitni ani ultrazvukovy? Na principu trpaslika v bedne neni videt nebo jakem?

        Clanek rozebiral obecne principy ctecek, ne jejich konkretni implementaci…ty, jakmile proste nemas marketingovy nazev, tak jsi zmateny jak Goro pred Tokiem.

      • zipiik (neregistrovaný)

        Myslel jsem Touch ID ne 3D Touch, at zustavame u ctecek otisku prstu

      • zipiik (neregistrovaný)

        Co nam na tema Touch ID rika teta wiki: “The sensor uses capacitive touch to detect the user’s fingerprint.[10] The sensor has a thickness of 170 µm, with 500 pixels per inch resolution. The user’s finger can be oriented in any direction and it will still be read.”

      • Ale uni zase napíše že wiki není relevantní zdroj, nebo něco takového, chapej :-)

        Jinak tedy, ten princip trpaslíka by mě taky zajímal, tak to vysvetli, uni :-)

      • Nikde není psáno, že není využito kapacitního principu, ostatně, kdo jej vlastně prosadil na trhu že. Princip ID Touch jaksi Apple “zapomněl” vytrubovat do světa že… Nicméně výsledky dohledatelné pochopitelně jsou.

      • Uni:Jzs. ty už se začínáš ztrácet. Apple má jinak oproti jiným výrobcům, kteří mají taky své principy zpracování, svůj princip. Takže konečná bezpečnost může být jiná. Ale jinak je to stejně jako u jiných skenování povrchu 3D. Tak čekáme na ty dohledatelne výsledky..

      • q (neregistrovaný)

        uni: “Princip ID Touch jaksi Apple “zapomněl” vytrubovat do světa že… ”
        No ocividne tobe ho Apple nezapomnel prozradit, ze :D Pripominas mi Ovcacka…

      • xzeit: Ježíši vždyť už zazněly, např. míra obelstění. Nebo že nemusí být naskenovaný prst. Nedělej se sebe tupce.

      • UNI: Já myslel výsledky zázračného principu té čtečky. Jinak ne se sebe, ale ze sebe.

      • xzeit: No jde ti to velmi dobře. Tak po třetí nebo po čtvrté: “už zazněly, např. míra obelstění. Nebo že nemusí být naskenovaný prst.”
        Pátek co? To tu bude zase peklo….

      • Ako vidim Unimu zas ide karta a zas robi so seba ovecku. Bude to obdobny pripad ako s Taptic Engine vsak?!

  5. Tak mě to duhovku ani nedokáže načíst, natož podle ní ověřit !

  6. Petr (neregistrovaný)

    Tesing oddeleni Samsungu musi byt fakt shit… asi po lonskem failu vsechny prevelely na testovani baterky :D

  7. MikyWoW (neregistrovaný)

    Pravděpodobně FAKE. Protože tam dává jen jedno oko a minimálně na Lumii s jedním okem neuspějete. Může někdo kdo má Samsung otestovat odemčení jedním okem? Přijde mi to totiž jako kravina aby to šlo…

    Jsou tam i další nesrovnalosti… Kontaktní čočka takto rozhodně neudělá efekt oka. Pokud vím tak IR dioda se používá pouze pro zaostření nikoli při samotném focení. To pak obstará blesk. U Natáčení videa lze použít IR k osvícení při nahrávání ale to nevím že by u nějakého digitálního foťáku vůbec bylo. Jedna malá dioda rozhodně nestačí na osvícení pokud není přesně namířena a není z velké blízkosti tak jako tomu je právě u čtečky duhovky.

    Klasická novinařina tenhle článek…. Naprosto neověřené a dost pochybné video.

  8. Martin P (neregistrovaný)

    Řešít takové kraviny, jde o to že je to novinka v podání Samsung, mouchy se doladí a bude klid. (PS: Vím byl u N7 ale ten ani nestihli pořádně otestovat)

    Jinak nic není bez chyby.

  9. Při vývoji důkladným testováním? Nešlo to ještě týden před prodejem odemknout fotkou? Co to na nás šulí?????

    • q (neregistrovaný)

      uni, neblazni, vsetko je prelomitelne, zalezi len, aky je zlodej profik. Heslo, vzor, PIN, odomykanie kamerou, citacka odtlackov aj citacka duhovky. Avsak citacka duhovky je z nich najtazsie prelomitelna, stanovisko Samsungu beriem. Inak, neskusal niekto nieco podobne s Lumiou 950?

      • q (neregistrovaný): Tak ještě jednou:) Přístroj je ve vývoji min rok, týdny před zahájením prodeje zjistit, že to jde odemknout obrázkem mi prostě nějak nejde dohromady s důkladným testováním v průběhu vývoje, sorry jako:)

    • Klasika, marketingové žvásty alá Samsung, nějak to okecat musí.Přeci nenapíšou, že to podělali a je to vlastně k čemu, snadno prolomitelné..

  10. Durus (neregistrovaný)

    Je to odrb. Dotycny sony fotak nieje schopny na takuto vzdialenost nacitat presnu podobu ocnej duhovky za podobneho osvetlenia. Je to odrb a pekne na nom ryzuju. Akoze asi by to slo, za lepsieho osvetlenia, s kvalitnejsim objektivom. Na fotke oka v notebooku dopada svetlo zo spodu, kdesto akoze pri foteni dopada svetlo zhora.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *