Vi har ett kärlekshatningsförhållande med biometriskt ID. När allt kommer omkring ser det så fantastiskt ut när hjälten i en sci-fi-film kommer in i det begränsade åtkomstområdet efter att ha haft sin hand och iris skannade. Men det handlar om det bästa du kan säga om biometrisk säkerhet. Det är konceptuellt felaktigt i en massa sätt, och nästan alla implementeringar vi har sett blir brutna förr eller senare.
Fall i punkt: produktiv anti-biometri hacker [Starbug] och en grupp av Pals på Berlin CCC kan autentisera till betalningssystemet “Samsung Pay” via Iris-skannern. Videon, inbäddad nedan, visar hur: Ta en bild av målets öga, skriv ut det och håll det upp till telefonen. Det var svårt!
Sarkasm åt sidan, IRIS-sensorn använder IR för att känna igen mönster i ditt öga, så [Starbug] och Co. var tvungen att använda en kamera med nattvisionsläge. En kontaktlins placerad över bilden fullbordar illusionen – vi gissar att det får reflektionerna från rumsbelysning. Inga etsning fingeravtrycksmönster i koppar, ingen ledande gel – bara en utskrift och en kontaktlins.
Vi har rantit om osäkerheten hos fingeravtryck före; De är inte en bra hemlighet, de är oåterkallelig, och de är svåra att lagra säkert. Och ovanpå dessa konceptuella problem är de ganska spoofable, som [Starbug] och massor av andra har visat, gå tillbaka.
Så varför använder vi dem fortfarande? Fingeravtrycksläsare och irisskannrar är “tillräckligt bra” säkerhet och de är roliga att hacka runt med. Måste du lägga till ett till ditt projekt för grins? Absolut. Måste du kräva att din medborgare använder dem för autentisering, eller använd dem för riktig säkerhet? Vi skulle inte.
Video PlayerHttp: //CDN.Media.ccc.de/contributors/berlin/biometrie/h264-hd/biometrie-11-eng-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4
00:00
00:00
01:16
Tack [MBLN] för spetsen!