Взломан сканер отпечатков пальцев Samsung Galaxy S5

16.04.2014 | 09:15 Экономика

Исследователи безопасности из немецкой Security Research Labs смогли обойти защиту сканера отпечатков пальцев от Samsung с помощью поддельного отпечатка пальца.
 

Взлом Galaxy S5 с использованием фальшивого пальца.

Samsung не обеспечивает адекватную защиту безопасности с помощью сенсора отпечатков пальцев на новом смартфоне Galaxy S5 — по крайней мере, так утверждает группа исследователей, которые смогли обойти защиту.

В видео хака, исследователь из Security Research Labs продемонстрировал, как они обошли сканер отпечатков пальцев с помощью «подделки из столярного клея», сделанной по шаблону, взятому с фото пятна отпечатка пальца, оставшегося на экране смартфона. Сам взлом использует тот же метод, что использовался для взлома сканера отпечатков пальцев Apple iPhone 5S в прошлом году.

Но S5 разочаровал исследователей из-за одной критической уязвимости. Сканер отпечатков пальцев позволяет произвести несколько неудачных попыток без требования ввода пароля. Так что, кто-то может продолжать пытаться пробовать один фальшивый отпечаток пальца за другим, пока не получит доступ.

Сканирование отпечатка пальца в Galaxy S5 также может быть связано с безопасностью определенных приложений и услуг. Как только кто-то получит доступ к телефону после сканирования, он может открыть приложение, например, PayPal без дополнительной идентификации. Как показано на видео, взломщик способен войти в PayPal, получив доступ к учетной записи владельца.

SRLabs расположена в Берлине и занимается исследованиями в области безопасности и консалтингом по мобильным сетям, сим-картам, платежным терминалам и другим системам.
«Несмотря на то, что это одна из флагманских особенностей премиум телефона Samsung, реализация аутентификации по отпечаткам пальцев оставляет желать лучшего», сказал исследователь в видео. «Функция сканера отпечатков пальцев в Samsung Galaxy S5 вызывает дополнительные проблемы безопасности для тех, кто уже занялся совместимой реализацией».

В ответ на выводы SRLabs, PayPal сделала следующее заявление:
«Несмотря на то, что мы принимаем заключения от Security Research Labs очень серьезно, мы по-прежнему уверены, что аутентификация по отпечаткам пальцев предоставляет более простой и безопасный способ платежей на мобильных устройствах, чем пароли или кредитные карты. PayPal никогда не хранит и не имеет доступ к вашим реальным отпечаткам пальцев при аутентификация в Galaxy S5. Сканирование открывает безопасный криптографический ключ, который служит в качестве замены пароля для телефона. Мы можем просто деактивировать ключ потерянного или украденного устройства, а вы можете создать новый. PayPal также использует сложные системы против мошенничества и инструменты управления рисками, чтобы предотвратить мошенничество прежде, чем оно произойдет. Тем не менее, в редких случаях, если это случится, вы попадаете под нашу политику защиты покупок».

UPD: Официальная позиция компании PayPal:

Мы очень серьезно относимся к информации Security Research Labs, однако мы по-прежнему уверены, что аутентификация с помощью отпечатка пальца дает возможность для простой и безопасной оплаты на мобильных устройствах. PayPal никогда не хранит и даже не имеет доступа к вашему отпечатку пальца на Galaxy S5. Отсканированное изображение открывает защищенный криптографический ключ, который служит заменой пароля для телефона. Мы можем просто деактивировать ключ на сломанном или украденном устройстве и вы можете создать новый. PayPal также использует сложнейшие инструменты по управлению с рисками и борьбе с мошенничеством, чтобы предотвращать правонарушения. Однако, в редких случаях, когда мошенничество произошло, соответствующие транзакции на вашем счете PayPal покрываются нашей Программной защиты покупателей.