O Chaos Computer Club tem-se divertido a mostrar formas de ultrapassar os sistemas de autenticação nos smartphones (como os sensores de impressões digitais e reconhecimento facial) e agora volta a fazê-lo para o sistema de reconhecimento pela íris usado no Galaxy S8.
Ao contrário do que acontece com o reconhecimento facial, que a própria Samsung reconhece como sendo apenas uma forma conveniente mas pouco segura de desbloquear o smartphone, o sistema de reconhecimento da íris é anunciado como sendo um sistema de alta-segurança que oferece segurança quase praticamente absoluta aos utilizadores... Só que afinal, também pode ser enganado por uma simples foto.
Os membros do CCC demonstram como é relativamente simples tirar uma foto de uma pessoa a vários metros de distância, de modo a captar os seus olhos com qualidade suficiente (processo ajudado caso se use o modo nocturno / IR que aumenta o contraste da íris) e que depois bastará imprimir a foto numa impressora - sendo que o último detalhe consiste em colocar uma lente de contacto sobre o olho impresso, para que o smartphone se deixe enganar.
O processo acaba por ser ainda mais simples do que tentar obter e reproduzir uma impressão digital, pelo que quem estiver a pensar utilizar o método da íris por imaginar que o mesmo será mais seguro... deverá reconsiderar as suas opções.
Actualização: A Samsung já veio dar resposta oficial.
As alegações só poderiam ter sido feitas no contexto de uma rara combinação de circunstâncias. Seria necessário que se desse a situação improvável de se estar na posse de uma fotografia em alta resolução da íris do proprietário do smartphone tirada com uma câmara IR, ter-se o smartphone do proprietário e ainda lentes de contacto, tudo ao mesmo tempo. Realizámos demonstrações internas nas mesmas circunstâncias e foi extremamente difícil replicar o resultado.
Sem comentários:
Enviar um comentário (problemas a comentar?)