23:16
24/4/2014

Badacze z Security Research Labs zademonstrowali jak oszukać wbudowany w Samsunga Galaxy S5 czytnik linii papilarnych. I było to dziecinnie łatwe, co najwyraźniej rozczarowało badaczy, bo jeden z nich powiedział: “spodziewałem się, że nam się uda, ale miałem nadzieję, że jednak będzie to przynajmniej małym wyzwaniem…“. Oto kolejny przykład na złudne bezpieczeństwo niektórych sposobów wykorzystania biometrii do uwierzytelniania.

Całość ataku możecie zobaczyć na tym filmiku:

Jak widać, sam proces ominięcia funkcji fingerprint nie jest ani długotrwały, ani… skomplikowany. Eksperci z RSLabs wykorzystali masę stworzoną z… kleju do drewna. Nie każdy chodzi w rękawiczkach przez cały czas, więc samo zdobycie odcisków palców potencjalnej ofiary wymaga po prostu krótszego bądź dłuższego przebywania w jej towarzystwie. Zawsze można też wykorzystać nieuwagę właściciela telefonu jak dziewczynka poniżej:

iYENVxU-252x250

Oszukanie czytnika linii papilarnych == dostęp do PayPala

Na fiasko zabezpieczenia wbudowanego w Samsung Galaxy S5 złożyło się kilka niedopracowanych elementów. Trzeba co prawda zaznaczyć, że telefon próbował bronić się przed wielokrotnym atakiem odblokowania go przez fałszywy palec wymuszając podanie hasła po kilku nieudanych próbach, ale …wystarczyło ponownie uruchomić urządzenie żeby pozwoliło ono na nieograniczoną liczbę prób odblokowania telefonu bez konieczności wprowadzania hasła

Badacze zwracają też uwagę, że po uzyskaniu dostępu do telefonu, intruz może dostać się do aplikacji związanych z bankowością — a zwłaszcza PayPala, który (pechowo dla siebie) ostatnio chwalił się w rozsyłanych mediom informacjach prasowych, że nowy Samsung Galaxy S5 umożliwia płacenie za pośrednictwem odcisku palca z zachowaniem najwyższych standardów bezpieczeństwa ;)

PayPal reklamuje bezpieczne płatności przy pomocy ...Samsung Galaxy S5

PayPal reklamuje bezpieczne płatności przy pomocy …Samsung Galaxy S5

Wkrótce po demonstracji ataku na Samsunga, PayPal oświadczył, że “potraktuje poważnie uwagi od RSLabs”. Dodatkowo, jak zaznaczył rzecznik firmy, skanowanie linii papilarnych zamiast podawania hasła, uaktywnia w aplikacji PayPala specjalny klucz kryptograficzny, który łatwo można dezaktywować np. gdy właściciel zgłosi zgubienie bądź kradzież urządzenia. Uniemożliwi to wtedy atakującemu na wykorzystanie konta zdefiniowanego na przejętym telefonie.

Odciski palców w cyfrowej formie, są już w cenie…

Masowe wykorzystanie tego ataku ogranicza brak powszechnego dostępu do odcisków palca. Ale warto przypomnieć, że dane biometryczne obywateli są coraz częściej zbierane — i to już nie tylko przez policję w trakcie “spisywania” podejrzanego, ale przez urzędy wydające paszporty. Krótko mówiąc oparcie zabezpieczenia swojego telefonu przed niepowołanym dostępem bazujące tylko i wyłącznie na odcisku palca raczej nie zatrzyma domorosłych hackerów i agencji rządowych — a raczej ułatwi im zadanie (bo w przypadku Samsunga Galaxy S5 nie potrzebują już znać hasła).

iPhone też oszukany, ale bezpieczniejszy

Na koniec przypomnijmy, że 7 miesięcy temu w podobny sposób złamano iPhone’owy czytnik odcisków palca — Touch ID. W przypadku iPhona jednak, niekiedy (a zwłaszcza po restarcie) wymaganie hasła jest obowiązkowe, i nie da się go ominąć tak jak w Samsungu.

hacking_iphone_5S_touchID_-_YouTube-269x250

Polecamy naszą szczegółową analizę bezpieczeństwa czytników linii papilarnych stworzoną na podstawie TouchID — odpowie ona na pytania, kiedy aktywowanie takiego zabezpieczenia ma sens i podnosi nasze bezpieczeństwo a kiedy mocno je obniża oraz jakie są pozytywne i negatywne strony stosowania biometrii.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

58 komentarzy

Dodaj komentarz
  1. Super tajne hasło do zabezpieczenia portfela (zamiast touchID): pass123 :D

    • A nie “dupa123” ??? Strange….

  2. Ciekawy jestem jak bezpieczne są dane biometryczne zbierane na potrzeby wyrabiania nowych dokumentów. Chciałem sobie zrobić nowy paszport, ale nie wiem czy to dobry pomysł (wątek emigracyjny darujcie…).

  3. Tak, pwpw już z pewnością natłukła na drukarkach 3D miliony gumowych palców posiadaczy paszportów biometrycznych i będzie sprzedawała je hakerom telefonów :D
    Biometria w większości przypadków jest ok jako drugi czynnik, ew na zastępstwo “wężyka”, czy hasła “1234”.

  4. To nie pwpw drukuje paszporty tylko inna instytucja trzyliterowa.

    • no to taka robota fifty-fifty, bo przecież blankiety robi pwpw, ale racja, że to cpd będzie odlewało oszukańcze paluchy :))

  5. Nie trzeba drukarki 3D! Prosta metoda fotochemiczna, stosowana w elektronice to produkcji płytek drukowanych. Wydruk z drukarki laserowej na folii, potem forma na blasze miedzianej i odcisk z jakieś gumowatej masy. Trywialne.

    • Musi być na laserówce, czy zwykła “plujka” wystarczy?

    • Musi być laserówka (pod wpływem temperatury toner z kartki, który jest de facto plastikiem) przenosi się na miedź. Poczytaj o termo transferze. Oprócz laserówki pozostaje ksero. ;)

    • @SuperTux
      Z laserówki jest szybciej, poszukaj opisu metody “żelazkowej” produkcji pcb. Z atramentówki też można ale trzeba kupować płytki z fotorezystem i naświetlać przez kliszę.

    • @SuperTux
      Każdy normalny punkt ksero drukuje na drukarkach laserowych. Problem tylko w tym żeby nakłonić operatora do tego aby drukował na Twoim papierze kredowym, z Twojej pamięci USB i do tego żeby jeszcze ustawił najwyższą jakości wydruku.

  6. W ogóle to kto wpadł na pomysł, że autoryzacja za pomocą odcisku palca może być bezpieczna? :D

  7. W wypadku iPhone’a trzeba było także specjalistyczny model palca zrobiony z silikonu przygotowanego w laboratorium, a nie z masy drzewnej :)

  8. “odciska palca” … polska języka trudna być

    • Albo jestem ślepy, albo nie widzę, gdzie tak pokaleczyliśmy?

    • PayPal(ec) tak pokaleczył :)

    • Ah. No to tego raczej nie będziemy poprawiali w photoshopie ;)

  9. w “limes inrerior” to zdejmowali skore z reki. czy ktos to pamieta?

    • Sory ale nie pamiętam opisu tej sceny.

  10. “limes inferior” : poprawka

  11. Trzeba pamiętać, że paszporty maja wbudowane RFID. Już od jakiegoś czasu dostępne są zestawy do ataków na karty zbliżeniowe.
    Kieszonkowiec wersja 2.0: ukradnie telefon, przejmie dane z kart zbliżeniowych a jak się mu poszczęści to i pozyska odciski palców z paszportu…

    • Odczyt odcisku palca z pamięci paszportu jest chroniony protokołem Extended Access Control (o ile kieszonkowiec nie ma klucza prywatnego autoryzowanego terminala)

  12. “Pogromcy mitów” pokazali jak się w trąbę robi czytniki linii papilarnych.

  13. Bzdura a nie złamanie. Jak ma to pomóc złodziejowi, który ukradnie mi telefon w autobusie? Co będzie chodził z zestawem do ściągania odcisków? Fakt, w autobusie każdy łapie się metalowych rurek, z których łatwo się je ściąga odciski no ale bez przesady…

    • Z reguły na samym telefonie masz mnóstwo swoich odcisków ;)

    • Z czego większość rozmazanych innymi odciskami, ergo nie nadające się.

  14. 100 lat temu o słabościach biometrii było głośno dzięki CCC
    też ją złamali też za pomocą kleju, żadne nowum – no i co ? no i nic,klejowe bugi zostały ostentacyjnie olane przez bimetryczne lobby.
    Biometria tak czy inaczej będzie wszędzie bo to świetny biznes

    • Bzdura, sporo prac w biometrii skupia się na zapobieganiu fałszerstwom. To czy ktoś je sobie wdroży w telefonie to inna sprawa.

    • Zastanów się jak zmieni się bezpieczeństwo dokładnie takiego samego czytnika jak w S5 jeśli obok urządzenia postawisz “nadzorcę”, który sprawdza co jest do niego przykładane.

      Choć biometrii nie lubię to nie można powiedzieć, że jest ona “be” w każdym scenariuszu wykorzystania.

    • Ja wole się raczej skupiać na tym “jednym procencie” negatywu niż 99% pozytywu
      Co z tego że 99 na 100 przypadków mechanizm się sprawdza a tylko w jednym nie
      To ten jeden przypadek jest tym krytycznym.
      To jak z pedofilami w kościele, ostatnio jakiś oświecony pan stwierdził że to margines błędu
      z perspektywy dziecka to chyba lekko nie trafiona wypowiedź.
      Wyobraź sobie że każdy samochód jaki został wyprodukowany ma taką fabryczną usterkę
      że jeden na sto wybucha.
      Biometria to zło w każdym aspekcie nawet gdy działa

      “…jeśli obok urządzenia postawisz “nadzorcę”…” tzn jakiego nadzorcę ? S5 to chyba telefon ? Nadzorce w sensie człowieka ?

    • Biometria to dziedzina nauki i inżynierii która zajmuje się szerokim wachlarzem tematów, nie tylko czytnikami linii papilarnych ;)
      Masz rację, że jako jedyne zabezpieczenie dostępu, zwłaszcza w implementacjach z wysokimi stopami błędu, to pomyłka z punktu widzenia bezpieczeństwa. Warto zauważyć, że jest też wiele innych zastosowań biometrii: rozpoznawanie odcisków w bazach kryminalnych (np. AFIS), identyfikacja osób poszukiwanych i zaginionych na kamerach w miejscach publicznych (rozpoznawanie twarzy), weryfikacja (potwierdzenie deklarowanej tożsamości) jako dodatkowa forma zabezpieczenia. Czasem dokładność 99% pozwala ogromnie przyspieszyć i ułatwić pracę ludzi.

  15. Gdybym dostał maila od fachowców, którzy robią byki ortograficzne długo bym się zastanawiał nad korzystaniem z ich usług (pozdrowienia dla pana Karola).

    • A ja bym pomyślał że to phishing i bym kompletnie tą funkcję olał. I dobrze bym zrobił. Na szczęście szajsunga ni mam.

  16. Najgorsze jest to, że jak ktoś nam hasło zwinie, to wymyślimy drugie, a jak na ktoś zwinie “dane biometryczne” to pozostaje chyba tylko palce sobie uciąć (nie mówiąc o innych częściach ciała).

    • Można laserowo zmienić, tylko zabieg trzeba co 3-4 miesiące powtarzać, bo stare odciski lubią się odradzać. Cholernie boli no i tego u normalnego doktora nie zrobisz ;).

  17. Przecież wszystkie telefony, posiadają kamery do wiedo rozmów, wiec co za problem jako zabezpieczenia użyć siatkówki oka, jej nie podrobią plastelina, a takie kamery już dawno temu, były wykorzystywane w bankomatach (bodajże produkowane przez panasonic).

    • siatkówkę kamerą w telefonie?

    • Siatkówka – tęczówka – co to za różnica? :)

  18. “ODCISKA PALCA”? W materiale promocyjnym?

    • Takim brązowym, o intensywnym aromacie…

  19. Wysyłałem tydzień temu na skrzynkę redakcyjną info o tym, w porę ktoś stworzył newsa.

    • Prawdę mówiąć, wiedzieliśmy o tym nawet przed wysłaniem przez Ciebie informacji do nas, rękę trzymamy na pulsie, monitorujemy co się dzieje non-stop, ale z opisywanie pewnych spraw czasem nam się przedłuża — powodów jest wiele ;)

      Przypominam też, że każdy czytelnik może podesłać gotowego newsa/felieton i z przyjemnością go opublikujemy pod nazwiskiem czytelnika i z linkiem do jego strony/serwisu.

  20. To nie biometria jest zła a jej użycie. Można przyjąć, że zbiór cech biometrycznych identyfikujących pewnego osobnika jest w pewnym przyjętym przedziale czasu stały. Znaczy to mniej więcej tyle, że jeżeli identyfikowaliśmy kogoś na podstawie takiego zbioru w nieodległej przeszłości, to będziemy mogli zrobić to ponownie teraz i zapewne w nieodległej przyszłości, wszak linie papilarne czy kształt twarzy nie zmieniają się zazwyczaj z dnia na dzień. Wniosek nasuwa się sam – nie należy używać biometrii “zamiast” haseł, a “razem” z nimi, jako drugi etap weryfikacji, który znacząco podnosi poziom zabezpieczeń.

  21. Poprawcie kod php, w stopcie wyswietla:
    Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);

  22. Jak już obmyślą jak genialnie zabezpieczyć wszystko za pomocą biometryki to trzeba będzie się modlić, żeby przypadkiem palca nie urwało, oczy nie wpadły i lub inne zdarzenia losowe. Najlepiej zrobić sobie kopie bezpieczeństwa własnych swoich danych biometrycznych.
    Pozdro.
    P.

  23. Testowanie żywotności palca to nie jest żaden kosmos, to się stosuje w profesjonalnych zastosowaniach. Myślę że wprowadzenie jej do smartfonowej biometrii nie byłoby bardzo trudne.

  24. http://idstore.pl/m2-fingervein-reader-p-855.html

    Gdy skompaktują tego typu urządzenia i wsadzą do telefonów, laptopów i innych urządzeń zamiast czytników linii papilarnych, wtedy będę mógł nazwać biometrię za bezpieczną.

    Dla osób niewtajemniczonych: nawet odcięty palec przez taki czytnik zostanie rozpoznany, gdyż z powodu braku przepływu krwi w palcu zdjęcie będzie się różnić :)

    • Jeśli jest to coś w rodzaju “nietypowego zdjęcia”, to czy posiadając odpowiedni aparat nie będzie można wykonać zdjęcia z większej odległości, a później odtworzyć palec z odpowiednim układem żył?
      Może i sporo roboty, ale jeśli ktoś ma naprawdę cenne dane… :-)

    • Dobranie się do czyjegoś obrazu żył w palcu to jedno, ale odtworzenie go w taki sposób, aby oszukać specjalistyczny czytnik to już co innego i w dzisiejszych czasach nie jest to raczej gra warta świeczki, aby dobrać się do telefonu przeciętnego kowalskiego. Może gdyby taki czytnik dawał dostęp do sejfu jakiegoś banku, ale nie do telefonu czy nawet do konta bankowego.

  25. Dane biometryczne to bardzo szerokie pojęcie i warto napisać którymi danymi biometrycznymi nie warto zabezpieczać: telefonu, drzwi do domu, sejfu itp. Stosowanie odcisków palców gdziekolwiek dzisiaj to rzeczywiście pomyłka, ale stosowanie zabezpieczeń przy użyciu innych danych biometrycznych to przyszłość czy to się komuś podoba czy też nie. Inne dane biometryczne to np. układ naczyń krwionośnych lub też układ siatkówki oka, które są niepowtarzalne i w przeciwieństwie do odcisków palców nie tylko trudno je pobrać (bo nie zostawiają śladów, mam tu oczywiście na myśli odcisk ze szklanki, telefonu itp. a nie sytuacje przy przekraczaniu granicy jakiegoś państwa gdy musimy przyłożyć łapkę do skanera), ale tym bardziej trudno je odtworzyć (np. wydrukować) w taki sposób aby móc się nimi posługiwać.
    Wystarczy zobaczyć jak to już może działać:
    https://www.youtube.com/watch?v=eDo0W1tEkpk
    Są oczywiście i gorsze rozwiązania: https://www.youtube.com/watch?v=Oyd0sAjdD8I

  26. Myślę, że jak już wszystkie telefony będą używać skanerów palców, powinno się wprowadzić 3FA (1x to co wiesz, 2x to co masz). Jedno, to oczywiście hasło, drugie token, hasło jednorazowe lub kod z SMS a trzecie to odcisk. Im więcej czynników, tym transakcja bezpieczniejsza, nawet jeśli jeden zawiedzie (jak w tym wypadku skaner palca).

    Ogólnie to chyba powinni wyposażyć telefony albo w skanery tęczówki (więcej “punktów” więc bardziej bezpieczne od linii papilarnych) albo w skanery DNA (wbrew pozorom odpowiednia technologia już istnieje) – w ostatnim wypadku tylko jednojajowy bliźniak będzie mógł odblokować telefon (oprócz właściciela).

  27. Ktoś naprawdę się spodziewał że to stanowi poważne zabezpieczenie?, przecież to jest “ficzer” równie użyteczny jak zaczepka na smyczkę.

  28. Jak został złamany skoro nikt nie shakował jego firmware/software/podzespołów 0.o oczywiście każdy nosi przy sobie drukarkę 3d i ma odcisk palca właściciela samsunga [któremu chce ukraść telefon]…

    “wystarczyło ponownie uruchomić urządzenie żeby pozwoliło ono na nieograniczoną liczbę prób odblokowania telefonu bez konieczności wprowadzania hasła” = no i co za problem – fail urządzenia a nie sukces wielkich hakierów.

    teraz wszystkie gimbusy mają stracha że im ktoś telefon shakuje i zrobi odcisk palca z piwa a po wejściu zobaczy nagie fotki z wc

  29. Tylko czekać na serwis sprawdzający “czy mój odcisk palca jest w słowniku”.

  30. Po co do cholery udostępniać Samsungowi czy innej korporacji swoje własne odciski palców? Jak zechce, podprowadzi nam tożsamość, Samsung, Google albo hakerzy którzy się tam włamią

  31. Z kronikarskiego obowiązku – LineageOS na tym samym urządzeniu (jak i każdym innym) wymaga wpisania hasła/PINu po restarcie, pozwala też na własnoręczne ustawienie limitu nieudanych prób identyfikacji odciskiem.

  32. […] wiecie, że biometrię da się obejść. Czasami wystarczy do tego taśma klejąca lub wikol, ale można użyć bardziej zaawansowanej technologii jak drukarka 3D. Taki sprzęt jest coraz […]

Odpowiadasz na komentarz GwynBleidD

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: