Domů » Bleskovky » Samsung má problém: ultrazvukovou čtečku otisků oklame kopie z 3D tiskárny

Samsung má problém: ultrazvukovou čtečku otisků oklame kopie z 3D tiskárny

Ultrazvuková čtečka otisků prstů na Samsungu Galaxy S10 byla prezentována jako jedna z jeho klíčových funkcí. Podle informací poskytnutých výrobcem mělo jít o do značné míry revoluční technologii, která je rychlejší a bezpečnější než konkurenční řešení.

Nyní se však ukazuje, že to asi není tak úplně pravda. Uživatel Redditu /u/darkshark9 dokázal v domácích podmínkách vytvořit na 3D tiskárně kopii otisku, kterou čtečku bez problémů obelhal.

Stačí fotka z telefonu a domácí 3D tiskárna

Postup získání funkční kopie otisku byl až překvapivě jednoduchý. Uživatel vyfotil smartphonem svůj otisk prstu na skleničce a snímek následně upravil ve Photoshopu, především zvýšil kontrast a odstranil pozadí. Takto upravenou grafiku následně v programu 3DS Max převedl do trojrozměrné podoby tím, že jednotlivým linkám nastavil určitou výšku.

galaxy s10 ctecka otisku 3d 2
Převést upravenou fotku do 3D modelu už podle uživatele nebyl žádný problém… (Zdroj: darkshark / Imgur)

Takto získaný model následně vytiskl na domácí 3D tiskárně AnyCubic Photon LCD na kousek umělé hmoty. Tato tiskárna dokáže pracovat s přesností až deset mikronů, což je pro tento účel více než dostatečné. Sehnat ji přitom lze relativně levně – v USA se prodává přibližně za 10 500 Kč.

Kousek plastu následně pouze přiložil na displej telefonu, který ho bez problémů zaregistroval a odemkl se. Čtečka sice potřebuje i kapacitní vstup, nicméně zcela postačilo, že se displeje souběžně dotkl rukou v chirurgické rukavici. Autor dodává, že k vytvoření funkční kopie otisku potřeboval tři tiskové pokusy, což však vzhledem k třináctiminutové době tisku není nijak zásadní omezení.

Dárek pro zloděje?

Samsung tak možná paradoxně o něco usnadnil práci zlodějům, kteří nyní mohou relativně snadno získat přístup i do uzamčených telefonů. Autor říká, že by zřejmě nebyl problém snímek otisku pořídit například teleobjektivem, takže by ani nebylo nutné fyzicky získat přístup k nějakému otisku. Pokud by měl zloděj trochu štěstí, otisk by mohl získat i přímo z těla ukradeného telefonu.

Podle uživatele, který experiment provedl, lze s trochou zručnosti celý proces od pořízení snímku po odemčení telefonu zvládnout asi za patnáct minut. Majitel telefonu tak dost možná nestihne přístroj zablokovat či vymazat dostatečně rychle. Útočník navíc tímto způsobem může získat přístup nejen do telefonu jako takového, ale například i do bankovní aplikace zabezpečené právě otiskem.

Samsung se v době psaní článku k záležitosti nijak nevyjádřil.

Tomáš Krompolc

Fanoušek Androidu, Googlu a moderních technologií. Rád si poslechne tvrdší hudbu a mezi jeho nejoblíbenější seriály patří ty z produkce Netflixu. V současné době je spokojeným majitelem telefonu OnePlus 6.

71 komentářů

  1. 2kan (neregistrovaný)

    A klasická čtečka v tlačítku se takto oklamat nedá?

    • Dave (neregistrovaný)

      tam nepotřebuješ 3D tiskárnu jenom :D :D

    • Tak např. Touch ID v iPhonech ma kolem tlačítka kovový kroužek na detekci, jestli se jedná o skutečný živý prst anebo o podvrh. V displeji nic takového být nemůže.

      Jsem zvědavý na vyjádření předního světového odborníka na bezpečnost, THC Dírky.

  2. Ehm. To to jako fakt?

    • htcjirka

      Tak to je slušný fail, to si dělají srandu.. :-D To ji tam vůbec nemuseli dávat.

      • Já se na to tak dívám a moc se mi to nezdá… Že by udělal přesný 3D model z fotografie? To snad není možné… Byl bych trochu zdrzenlivy, než se to vyjasni.

      • lukass71

        Najednou zdrzenlivy, jak by to byl iphone tak mne tu zminujes a mate z toho s jirkou vanoce :D

      • Ale, co tu sase pleteš jablko…

      • Jan (neregistrovaný)

        Tak nedavej svuj prst k naskenovani do 3D tiskarny a budes v pohode. Trochu premyslejte boze nez budete pindat.

  3. A co jste jako čekali? Však to snímá jen papilární linie na prstech jen je to ve 3D narozdíl od optické čtečky. Až čtečka dokáže rozeznat i teplotu a tep daného prstu, pak budeme zas o krok blíže větší bezpečnosti.

    A samosebou každý máme doma 3D tiskárnu, která dokáže naprosto přesně vymodelovat prst a jeho papilární linie.

    Tohle je asi tak stejný nesmysl jako odemčení telefonu pomocí profesionálních maket obličeje.

  4. Xaver (neregistrovaný)

    Pořídit otisk prstu teleobjektivem? To jako myslíte vážně?

  5. shepii (neregistrovaný)

    Tak teoreticky jde vše, prakticky není důvod k obavám. Beztak ve smartphonech žádný normální člověk nemá tak citlivá data, aby někomu stálo za to takhle se namáhat, navíc by stejně každý stihl smartphone na dálku vymazat. A ti kdo mají citlivá data nepoužívají běžně zabezpečené smartphony.

    • Tak jakýkoliv přístup do banky a na různé účty se dá za citlivá data pokládat. Pokud se tohle nějak potvrdí, bude to docela blbé..

      • @xzeit tohle je známo už od dob kdy se čtečky otisků prstů používají. Bezpečnost je dobrá. Jde vidět že víš velký kulový když dokážeš vyplodit něco takového.

      • Cleric: ne, ultrazvuková čtečka měla být bezpečnější, tak se o ní psalo. Je mi jasné, že jouda jako ty by tohle nehacknul.

      • @xzeit ona je bezpečnější než klasická optická čtečka, protože na prolomení potřebuješ vymodelovaný 3D prst ( což je více náročné ), u klasické čtečky ti stačí vytištěný prst na kusu papíru s dostatečně vykreslenou kresbou papilár. Ale očividně to tvůj zakrslí mozek stále nedokáže pochopit, tak snad nyní „když jsem to naspal polopaticky, to pochopíš i TY“

      • Xzeitr
        S banku nás pravdu ale i banky a George CS zavedli třeba George klíč ve snaze co nejjistejsiho zabezpečení v tomhle případě ač jsem to zprvu poněkud odmítal protože to klientovi vnuti ať chce nebo ne jsem za to i rád.

      • A ten George klíč ti chodí kam? Asi SMSkou na mobil že? Která ti přijde kam? Na odemčený mobil. Jak s blbýma na dědině normálně, trošku se příště zamysli.

      • Cleric: *zakrslý mozek bude tvůj. Klasická čtečka je spíš kapacitního typu. Galaxy S9 atd. Ne, ani u optické čtečky poddisplejove to není tak easy. Nejake způsoby jsem na tiskárně zkoušel a ještě budu zkoušet. Každopádně v obou případech, těžko sehnat použitelný otist bez prstu.

    • Tak kde kdo (i já) má v teleefonu komplet databázi loginů….

      • _qam_
        Hele víc ti psát nebudu a jestli si z dediny takhke s někým mluvíš a ještě si nedostal po tlamě, máš kurev. ke štěstí hochu…
        Pokud ses ještě nelrobral z té blbosti, existují hloupé tlačítkové telefony co neumí téměř nic, na které mohou chodit určitě zprávy stejně tak autoriz SMS, vše je individuální a moje bankerka mi vše vysvětlila a vyšla vstříc dal se s troubou jako ty nemma o čem bavit spi dal.

      • lukass71

        Tedy: Takze pokazdy, kdy se potrebujes prihlasit do banky, tak potrebujes druhy hloupy tlacitkovy mobil? Hm, to nezni moc pohodlne.. Krom toho, ukradnout ti nekdo ten, tak se do nej dostane mezitim, co se mu bude tisknout ten 3D model prstu..

    • lukass71

      . Beztak ve smartphonech žádný normální člověk nemá tak citlivá data

      A kde myslis, ze ten nOrMaLnI clovek citliva data ma?

      • shepii (neregistrovaný)

        Nikde. Normální lidé neamjí citlivá data. Tedy pokud za ně nepovažuješ fotky z dovolené s manželkou nahoře bez…

  6. Johny (neregistrovaný)

    Kdyby to byl iPhone tak tady už lidem zas praskaj cévky :D

    • Tak FaceID bez ohledu co bulvár psal a v reálu se málokomu povede, je tedy bezpečnější
      Doufám ze Samsung v dnešní době kdy se soukromí probírá ve velké míře a jeho poskvrneny rival H mu dýchá na záda, tohke v brzké době opraví

      • Na honor kombinují přístup skrze čtečku na zádech a rozpoznávání tváře skrze selfie kamerou vepředu, funguje to dokonale a tato kombinace mi v závislosti na situaci maximálně vyhovuje.

      • @Tedy takový malý detail, na tomhle není co opravovat, tohle opravit nelze. Tady pomůže jen přidání další technologie na detekci že daná osoba která přikládá onen prst je živý tvor a né jen kus umělé hmoty.

        Bezpečnost je dobrá, vždy se najde způsob jak jí obejít, ale proveditelnost je velice mizivá.

    • lukass71

      Neasi :DDD

  7. Michal (neregistrovaný)

    No jo, ale k tomu všemu by ještě potřebovali můj telefon, aby měli co odemknout. A ten nikdy nedostanou😂

  8. Michal (neregistrovaný)

    Johny: úplná pravda :-D

    Tedy: H že šlape na paty S ?? H že má kvalitnější foťák že je hned 1. Na trhu co se týče systému tak jsou zaostali tak o 2 roky a vbc systém má minimální ochrany ja jsem se osobně dostal do P20 Pro za cca 10 min skrze notes :-) sebral jsem si veškeré data i hesla a piny na karty stačilo mi projít skrze emui a měl jsem přístup ke všemu :-)

    • Michale tolik to nesleduji, střídám xoerii s honoremba spokojenost.
      Mám pocit že huawei /honor se stálé derou nahoru a jsou za Samsung nebo je to už jinak?

  9. Janek (neregistrovaný)

    Domnívám se, že to výrobce jen tak lehce nespraví. Za celou dobu co sleduji biometrické zabezpečení, se nikomu nepodařilo vyrobit zcela bezpečný mobil. Současné senzory a výkon procesoru nestačí, každý uživatel žádá aby to bylo rychlé odemčení a tak je to kompromis. Sejmu pouze několik papilárních linií tak, aby výpočet a ověření bylo co nejrychlejší, samozřejmě tím snížím bezpečnost. Pokud nevíte, v nastavení např u note8 lze zvýšit rychlost odemčení a tím snížit bezpečnost a naopak. Já vidím možnost v technikách šifrování ale musely by být uživatelsky přívětivé.

    • Proto jsem kdysi psal o dvojím bimetrickem zabezpečení. 3D scan obličeje v kombinaci s otiskem..

      • Tak já osobně nejbezpečnější považuji čtečku, ty se už léta používají i jinde a navíc ještě skener oční duhovky, ten ale tak častý není

  10. Jeremy Eric Nowak (neregistrovaný)

    a nejakej dukaz ze si tam nejdriv nenascanoval uz ten vytisknujej otisk?

    • Právě toto jsem měl taky na mysli. Spousta otazníků.

      • No bude to třeba podobná bublina jako u FaceID v případě Apple která brzy splaskne az to budou zkoušet ostatní a ne uspějí, takové senzace jsou běžně návštěvnost ke důležitá jde. Přece o peníze z reklamy.

      • Jeremy Eric Nowak (neregistrovaný)

        mam desitku doma a kolikrat se neotevre ani s mym prstem ,takkze je divny ze s kopii vysmolenou na tiskarne to najendou jde snad jeste lip nez s originalem =D

    • J. E. Nowak
      Ano v tomhle duchu byl můj komentar, bude to kachna Apple už tolik ne frčí takže budeme tyto bambasticke titulky číst v souvislosti se samsung Em

  11. Vita (neregistrovaný)

    Takhle se dá oklamat každá čtečka, to si zas někdo zaplatili ne?…

  12. d3adbeat (neregistrovaný)

    Jakej problém, OMG? Tohle je od vzniku ultrasonický čtečky známá VLASTNOST. To jen pro mentálně znevýhodněný, jako je xzeit, je to nová informace, která v jejich očích znamená, že je archaická optická čtečka bezpečnější.

    • Jako co je známá vlastnost ultrasonicke čtečky? 😁 Že jde ojeb.at z fotografie vyfocené mobilem? 😂

    • Jako co je známá vlastnost ultrasonicke čtečky? 😁 Že jde o*jb.at z fotografie vyfocené mobilem? 😂

      • xzeit je zas akorát tak sprostý, ale jinak je zas zmatený, jak lesní včela. Ultrasonická čtečka = ultrazvuková čtečka. V článku se píše, že byla odemčená modelem vytisknutým pomocí 3D tiskárny, tak proč kecy o fotografii vyfocené mobilem.
        No samozřejmě, to je, jak když si necháte udělat druhý klíč, taky s ním odemknete zámek. Takto ultrazvuková čtečka funguje – že měří vzdálenosti pomocí ultrazvuku, z nich udělá 3D model papiálrních linií a ty porovná s tím, co je v telefonu nahrán. Fotkou se dají ošálit optické čtečky, které dělají jen „fotografii“ povrchu, to je to, co máš například v Mate20 Pro. To je 2D fotka trojrozměrné „krajiny“.
        A kdybys věděl, jak funguje teleobjektiv, tak bys už dávno věděl, jak je to v článku myšleno. V té fotografii jsou totiž zaznamenaná data o hloubce scény, tudíž by tato fotografie mohla posloužit jako předloha do 3D tiskárny. Už i například FB umožňuje nahrávat něco na styl 3D fotek, ale je potřeba, aby v dané fotce byly zaznamenány právě ony údaje o hloubce scény. A tyto údaje se získají teleobjektivem.
        Míň sprostých slov, víc myslet.

      • Sprostý ale ne na někoho.
        Pozoruhodný je i způsob, jakým darshark model svého otisku prstu získal. Podle jeho slov jej vyfotil pomocí smartphonu, potom v grafickém programu upravil kontrast, aby byly jasně vidět přechody. Následně v 3D modelovacím programu vytáhl některé části otisku „do prostoru“, tak aby bylo soubor možné zhmotnit na 3D tiskárně.

      • Jde o to, jak otisk získal. Samozřejmě vím, co mám ve svém telefonu. Ale taky to není úplně easy, jak si nekdo může myslet. Detaily jeho postupu známy nejsou byl bych proto s verdiktem opatrný.

      • lukass71

        „Jde o to, jak otisk získal“
        Tak treba prave z toho smartphonu, ono se displej upatla dost jednodusse a otisky jsou na nem potom videt. Ve photoshopu upravit potom kontrast je hracka.

      • Jo. To je sice hezké, ale ultrazvuková čtečka čte hloubku přeci. Takže on ze 2D fotky udělal přesnou hloubku jak nic. A to je docela zarážející, až se mi tomu nechce věřit. Nakonec se ukáže, že je to fake.

      • lukass71

        Tak treba uplne presnou hloubku nepotreboval.. Treba jo, stejne jako ty priklady drive s FaceID.

      • Chlapi, sakra, tak se mrkněte na net, o čem vlastně daktyloskopie je. Jen v rychlosti – i 2D fotka může poskytovat informace o trojrozměrnosti. Otisky se častokrát dělají na tvrdší papír třeba inkoustem, tmavší/světlejší plochy zobrazují reálnou hloubku/mělkost povrchu. To je taky důvod, proč je možné využívat i optické čtečky. Navíc, aby došlo ke shodě, není potřeba, aby se shodoval otisk úplně celý – stačí jeho části. V databázích jsou povětšinou uchovávány otisky pořízené na kartu a naskenovány do počítače. Ale to jsou pořád pouze 2D snímky. Proto on mohl pořídit fotografii (2D), na základě stínů a barev (které ještě zviditelnil ve Photoshopu) mohl celkem přesně určit hloubku, a pak už nebyl problém vymodelovat 3D obraz, který byl použit jako šablona do 3D tiskárny.

      • On tu hloubku ale určil dost přesně, pokud se mu to povedlo. Uvidíme, co z toho ještě nakonec vyleze.

  13. Stanley (neregistrovaný)

    Otisk prstu nebo sken obličeje jsou dosti bídné metody zabezpečení telefonu. Filozofie jejich použití je v jednoduchosti – na rozdíl od mnohem bezpečnějších metod je toto tak jednoduché, že jsou lidi ochotní to používat a určitě je lepší mizerné zabezpečení, než žádné.
    Samotný otisk prstu ochrání tak před Arankou, co vám mobil štípla v metru nebo před kolegou v práci, když zapomenete mobil na stole. Pokud je u toho telefonu k prolomení ochrany potřeba solidní foťák, Photoshop, 3DS Max a 3D tiskárna, tak čtečka plní svůj účel velmi dobře a skutečný problém je v nepochopení a neznalosti uživatelů.

    • A jaké jsou ony bezpečnější metody?

      • Tuším, že TochID. Podařilo se to vůbec někomu prolomit 3D otiskem?

      • No to je ten otisk prstu ne (on je to tedy u Apple 3D scan povrchu, nemusí to být prst). Mám pocit, že vysoce kvalitní scan a tisk ve vysokém rozlišení s vodivým inkoustem mohl vést k úspěšnému hacknutí. Nicméně toto již Apple opustil ve prospěch 10x bezpečnější technologie. Kterou jste o level zvýší scanem krevního řečiště obličeje.

      • Stanley (neregistrovaný)

        Uni: Například PIN. Ještě lepší je heslo. Pokud není uživatel trouba, tak má v případě mobilu zabezpečení násobně lepší (a pokud trouba je, tak mu stejně nepomůže ani svěcená voda). Biometrické údaje jsou ideální jako další vrstva ověření.

      • Stanley (neregistrovaný): PIN i heslo ti odpozuruju přes rameno, máš stovky záznamu na různých kamerách ve městě, firmě,… Bezpečnostní vrata jak kráva. Co tam máš dál?

      • Jakože ten 3D scan obličeje je 10x bezpečnější (dle nějaké Applí statistiky) než TouchID? Jakože ten scan, který obelže i syn matky, případně dvojčata. Dobrý vtip. FaceID je bezpečnostní fail a nebezpečná technologie, vůbec bych to tu nezmiňoval.
        Heslo je stále nejbezpečnější způsob, mně se nikdy nestalo, že by mi přes rameno někdy někdo heslo odpozoroval. Pokud je uživatel alespoň přiměřeně opatrný, heslo se zjistit nedá. A ta chimera, že jsou všude kamery, to je taky dobrý strašák a vtip. To sice jsou, ale stačí se podívat v jakém FPS a rozlišení tyto kamery natáčejí. Kolikrát nejsou schopny rozpoznat ani SPZ auta.

      • Menty, můžeš místo těch nicneříkajících blábolů uvést konkrétní případy, kdy bylo TouchID nebo FaceID opravdu zneužito? Ideálně ve spojení s Apple Pay. Díky.

  14. Stanley (neregistrovaný)

    Uni: tak to riziko určitě existuje, nicméně pokud tě někdo nechá při zadávaní hesla čučet přes rameno, tak je trubka. Obdobně to platí pro kamery. Navíc dostat se k záznamům z kamer, kde možná je a možná není něco vidět, už tak jednoduchý není. A riziko se snižuje i pravidelnou změnou hesla.
    Podstatné je, že pokud dodržíš základy chování, tak v případě PINu a hesla odemčení vyžaduje tvoji aktivní spolupráci, zatímco biometrické údaje mohou být použity proti tvé vůli. Zrovna v případě mobilu, který máš všude u sebe, je to dost zásadní problém.
    Jinak z hlediska bezpečnosti je samozřejmě nejlepší vícevrstvé ověřování, u mobilu např. kombinace hesla a biometrie. Jen nevim, jestli to nějaký dnešní telefon umí.

    • Jan nechá? Jako že všichni budeme v tramvaji stát zády k okýnku? 😊
      Bereš ho moc jako scifi. Prostě ti kouknu přes rameno, následně ukradnu telefon a jsi nahraný. Běžná kapsařina.
      Ad tvá připomínka aktivní účasti, opět omyl, FaceID také vyžaduje aktivní účast.

      Takže asi tak….

      • Jakože vezmu něčí smartphone a on se díky nepovedené technologii, která chybně rozpozná můj obličej odemkne? To je určitě srovnatelná aktivita se získáváním otisků prstů, případně rozebírání záznamu kamer, jen co je pravda :)

      • Facepalm, skupina z Bermud dorazila.

      • htcjirka

        Ty máš svoji skupinu Uni? A až z Bermud? No to koukám. :-D

      • lukass71

        Menty: Ukazal bys mi nekdy, jak chybne rozpozna muj oblicej od toho kapsare a jak se mu to odemkne? Nebo alespon linknul pripad, kdy se tohle stalo? :D

    • Skylark

      Čekal jsem, kdy někdo přispěchá s heslem. Heslo nebo gesto je jedno z nejméně bezpečných a nejméně pohodlných autentizačních prvků. Krom toho, že se dá snadno odpozorovat, ať už koukáním přes rameno, CCTV kamery. Při troše štěstí klidně i odhadnout heslo z otisků na displeji v konkrétních místech. V současné době není bezpečnější technologie než faceID.

      • Tak, čekal jsem, že to takto dopadne, no nicméně jsem se zeptal, co kdyby. Tak se aspoň on něco dozvěděl o FaceID, takže vcelku úspěch😊

      • Stanley (neregistrovaný)

        Ale jo, tak věřte si tomu, když chcete. Beru, že pro člověka, který si neumí ani pokrýt klávesnici, aby mu na ni nikdo nečuměl je bezpečná práce s heslem nad jeho možnosti :-). Ale uznávám, že zrovna FaceID je nad průměrem, toho co se dneska v mobilech běžně nachází.
        BTW zajímavá věc, že ten superbezpečnej FaceID chce heslo, když se dva dny nepřihlásíš. ;-)

      • Skylark (neregistrovaný)

        Takže než si zkontroluju notifikace, tak se ujistím, že v dosahu nejsou kamery, našteluju se do polohy, aby mi nikdo neviděl přes rameno, nadatlím heslo, a jsem tam.. Pokud rychle potřebuju zjistit jízdní řád, navigační pokyny, otvírací dobu restaurace, když jsem v pochodu, tomu říkám značka ideál. Člověk koukne do telefonu kolikrát? Dvacet krát, třicet krát denně? To by tě nes**lo? To, že chce telefon po dlouhé době nepoužívání heslo je zcela běžné u všech značek. Heslo bude vždy třeba, ale jako záložní metoda, pokud selže biometrie

Napsat komentář

Redakce si vyhrazuje právo mazat komentáře, které nesouvisejí s tématem diskuze, nebo jsou útočného či urážlivého charakteru (pomluvy, vulgarity, rasismus či ponižování). V případě porušení těchto pravidel chování může redakce zakázat přístup do diskuze. Pokud nechcete neustále vyplňovat pole Jméno a E-mail (nezveřejňuje se), doporučujeme se zaregistrovat. Vyžadované informace jsou označeny *