Vi har et kærlighedshatforhold med biometrisk id. Det ser trods alt så fantastisk ud, når helten i et sci-fi-film, går ind i området begrænset adgang efter at have hånden og iris scannet. Men det handler om det bedste, du kan sige om biometrisk sikkerhed. Det er konceptuelt fejlbehæftet i en masse måder, og næsten enhver implementering, vi har set, bliver brudt før eller senere.

Sag i punkt: Prolific Anti-Biometri Hacker [Starbug] og en gruppe af venner på Berlin CCC er i stand til at godkende til “Samsung Pay” betalingssystemet via IRIS scanneren. Videoen, indlejret nedenfor, viser dig, hvordan: Tag et billede af målets øje, udskrive det og holde det op til telefonen. Det var svært!

Sarkasme til side, IRIS-sensoren bruger IR til at genkende mønstre i øjet, så [Starbug] og Co. måtte bruge en cam med nattesynstilstand. En kontaktlinse placeret over billedet fuldender illusionen – vi gætter det får refleksionerne fra rumbelysning til højre. Ingen ætsning af fingeraftryksmønstre i kobber, ingen ledende gel – bare en udskrift og en kontaktlinse.

Vi har ranted om forekomsten af ​​fingeraftryk før; De er ikke en god hemmelighed, de er uigenkaldelige, og de er svært at gemme sikkert. Og på toppen af ​​disse konceptuelle problemer er de helt spoofable, som [Starbug] og masser af andre har vist, går vej tilbage.

Så hvorfor bruger vi dem stadig? Fingerprint læsere og iris scannere er “god nok” sikkerhed, og de er sjove at hakke rundt med. Skal du tilføje en til dit projekt for Grins? Absolut. Skal du kræve, at din borgerlige bruger til at bruge dem til godkendelse, eller brug dem til reel sikkerhed? Vi ville ikke.

Video playerhttp: //cdn.media.ccc.de/contributors/berlin/biometrie/h264-hd/biometrie-11-g-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4

00:00
00:00
01:16.

Tak [MBLN] for spidsen!