For nylig introduceret af Samsung Galaxy S8 er en af de første smartphones udstyret med en irislæser som et middel til brugergodkendelse. Udover ansigtsgenkendelse og en fingeraftrykssensor skulle dette være den mest sikre autentificeringsmetode på en telefon nogensinde. Eksperter fra CCC (Chaos Computer Club), men nu har de bevist, at sikkerheden af scanneren skal arbejdes på af ingeniørerne hos Samsung, fordi det lykkedes dem at bryde den.
Samtidig havde hackerne brug for relativt almindeligt udstyr: et foto af ejeren af telefonen, en computer, en printer, papir og en kontaktlinse. Billedet blev taget med det infrarøde filter aktiveret, og personen skulle selvfølgelig have øjnene åbne (eller mindst ét). Efterfølgende var det nok at printe et foto af øjet på en laserprinter, sætte en kontaktlinse på billedet i stedet for iris, og det var gjort. Læseren tøvede ikke længe og låste telefonen op i løbet af et sekund.
Dette bekræfter endnu en gang, at det mest sikre stadig er det gode gamle kodeord, som ingen kan stjæle fra dit hoved, altså hvis vi ikke tæller social engineering med, og frem for alt kan det ændres til enhver tid, hvilket ikke kan sagt om kropsdele, der bruges til biometrisk autentificering. Fingeraftrykssensoren kan snydes i mange år og umiddelbart efter premieren Galaxy S8 er vi overbevist, at et simpelt billede er nok til, at nogen kan komme ind i vores telefon gennem ansigtsgenkendelsesfunktionen.
Opdateret om udtalelsen fra Samsung Electronics Czech and Slovak:
"Vi er opmærksomme på den rapporterede sag, men vil gerne forsikre kunderne om, at den irisscanningsteknologi, der bruges i telefonerne Galaxy S8, gennemgik grundige tests under udviklingen for at opnå høj genkendelsesnøjagtighed og dermed undgå forsøg på at bryde igennem sikkerheden, f.eks.
Hvad whistlebloweren hævder, ville kun være muligt under et meget sjældent sammenløb af omstændigheder. Det ville kræve en meget usandsynlig situation, hvor en smartphone-ejers højopløselige billede af iris, deres kontaktlinse og selve smartphonen ville være i de forkerte hænder, alt sammen på samme tid. Vi gjorde et internt forsøg på at rekonstruere en sådan situation under sådanne omstændigheder, og det viste sig meget vanskeligt at gentage resultatet beskrevet i meddelelsen.
Men hvis der er en hypotetisk mulighed for et sikkerhedsbrud, eller der er en ny metode i horisonten, der kan kompromittere vores bestræbelser på at opretholde stram sikkerhed døgnet rundt, vil vi behandle sagen omgående."
