Samsunga, we współpracy z PayPal, wprowadza w swoim flagowym smartfonie płatność za pośrednictwem odciska palca. Funkcja ta będzie dostępna również w Polsce. Kolejny raz okazało się jednak, że czytniki linii papilarnych nigdy nie były idealnym zabezpieczeniem. Zastosowany w Galaxy S5 najnowszy system autoryzacji, za pomocą czytnika linii papilarnych został już złamany i stanowi zagrożenie dla użytkowników usługi PayPal.
Niemieccy specjaliści pokonali jednak to zabezpieczenie w prosty sposób, metodą znaną szerzej jako „fingerprint spoofing”. Wystarczy zeskanować zdjęcie odcisku palca pozostawione w formie śladu na ekranie smartfona, a następnie uwierzytelnić „podrobiony” odcisk palca z użyciem specjalnego utwardzacza.
Nagranie pokazujące sposób na obejście zabezpieczeń w smartfonie Samsunga zostało przygotowane przez niemieckie Security Research Labs.
Na odkrycie niemieckiej grupy bardzo szybko zareagował sam PayPal. Portal wydał następujące oświadczenie:
O ile traktujemy odkrycie Security Research Labs bardzo poważnie, nadal jesteśmy przekonani, że weryfikacja za pomocą odcisku palca jest bezpieczniejszym i łatwiejszym sposobem dokonywania płatności za pomocą urządzeń mobilnych w porównaniu do korzystania z tradycyjnych haseł, czy kart kredytowych. PayPal nie przechowuje, ani nawet nie posiada dostępu do odcisków palców przechowywanych na Galaxy S5. Autoryzacja za pomocą odcisku palca odblokowuje zabezpieczony kryptograficznie klucz, który zastępuje standardowe hasło i za pomocą którego, użytkownik loguje się na swoje konto PayPal za pomocą swojego telefonu. Możemy po prostu deazktywować klucz znajdujący się na skradzionym, bądź zgubionym urządzeniu, a nasz użytkownik wystarczy, że wygeneruje sobie nowy klucz. PayPal korzysta również z zaawansowanych narzędzi, których zadaniem jest zapobieganie oszustwom zanim zostaną popełnione. A nawet jeśli ktoś uzyska nielegalny dostęp do konta naszego użytkownika, jest on chroniony przez naszą politykę ochrony transakcji – głosi oficjalne oświadczenie firmy w tej sprawie.
Warto przypomnieć, że wcześniej, używając podobnej metody, przedstawicielom niemieckiej firmy Security Research Labs, udało im się wprowadzić w błąd również czytnik zamontowany w iPhonie 5s. Z drugiej strony luka w Galaxy S5 jest o wiele bardziej niebezpieczna, niż w przypadku iPhone’a. Smarfon Apple przed użyciem czytnika linii wymaga podania standardowego hasła. Po autoryzacji czytnik działa do czasu zrestartowania urządzenia. W przypadku flagowego smartfonu z Korei, nie ma dodatkowego zabezpieczenia. Inżynierowie Samsunga widocznie stwierdzili, że takie zabezpieczenie jest zbędne i będzie tylko irytować użytkowników.
źródło: Money.pl
Aktualizacja 17.04.2014:
Oświadczenie Olafa Krynickiego, rzecznika prasowego Samsung Electronics Polska:
„Opisany problem nie jest postrzegany w branży jako stanowiący realne zagrożenie dla użytkownika indywidualnego.
Eksperyment ten został przeprowadzony w sztucznych warunkach laboratoryjnych i wymagał spełnienia szeregu bardzo specyficznych założeń oraz zastosowania konkretnych urządzeń i materiałów.
Firma Samsung bardzo poważnie traktuje wszelkie sygnały związane z tą sprawą i nieustannie podejmuje niezbędne działania w celu zapewnienia bezpieczeństwa swoich urządzeń.”
Kan
Szkoda, że złamas. Może to niemiecki rewanż vs polscy fachowcy odkodowywań aut i sprzętów jumanych z Niemiec? Oby nie 😉
„Flagowy smartfon Samsunga, we współpracy z PayPal” rozumiem, że to telefon sam z siebie podpisał stosowną umowę z PP.? 🙂
Czasem warto 2x przeczytać, co się napisało i poprawić. Dzięki poprawione. Andrzej
Jedynie czytnik wzoru żył pod skóra, a nie linii papilarnych jest bezpieczny. Musi oczywiście wyczuwać temperaturę i tętno, by autentyfikacja była możliwa jedynie żywym palcem. Mam na myśli czytnik Finger Vein firmy Hitachi stosowany w bankomatach biometrycznych, jednak najwidoczniej nie ma jego miniaturowej wersji dla smartfonów.
Zresztą generalnie Android jako taki najbezpieczniejszy nie jest a platforma KNOX Samsunga mająca bezpiecznie przechowywać dane w smartfonie całkiem niedawno zaliczyła security fail.