»

Zlomili prstne odtise v Windows Hello

Microsoft - Raziskovalci iz podjetja Blackwing Intelligence so ugotovili, kako je možno pretentati zaklep računalnik s prstnim odtisom v Windows Hello. Na prošnjo MORSE (Microsoft Offensive Research and Security Engineering) so analizirali varnost treh različnih tipov čitalnikov prstnih odtisov v prenosnih računalnikih in odkrili resne ranljivosti.

Ranljivi so čitalniki podjetij Goodix, Synaptics in ELAN, ki so jih preizkusili na napravah Dell Inspiron 15, Lenovo ThinkPad T14 in Microsoft Surface Pro X. Izdelali so posebno napravo, ki se na računalnik priključi prek USB-ja in omogoča izvedbo napada s prestrezanjem (MITM). Tako je možno odkleniti ukradene prenosnike, če je le kdo kdaj v preteklosti uporabil prstni odtis za prijavo.

Že pred časom je Microsoft ugotovil, da 85 odstotkov ljudi, ki to možnost imajo, za prijavo uporablja prstni odtis. Prvo resno ranljivost v Windows Hallo je Microsoft odpravil leta 2021, ko so ljudje ugotovili, da je možno pretentati prepoznavanje obrazov za...

10 komentarjev

Google bo popravil Pixel 4 - nekoč v prihodnjih mesecih

Ars Technica - Precej pozornosti je povzročila novica, da se Googlov novi telefon Pixel 4 pri uporabi prepoznavanja obrazov odklene tudi, če predenj postavimo spečega človeka z zaprtimi očmi. Pričakovali bi, da bo Google to ranljivost odpravil, sploh ker gre za edino biometrično funkcijo na tem modelu, a bomo morali še precej počakati. Čeprav je stari sistem v Androidu 4.1 (in seveda tudi Applov FaceID) deloval pravilno, bo Android na Pixlu 4 popravljen šele v prihodnjih mesecih. To je sporočil Google, ki je uporabnikom svetoval izklop sistema.

Zanimivo je, da je imela predogledna verzija Pixla 4 možnost, da prepoznavanje obraza zahteva odprte oči. Iz končne verzije je ta funkcija iz neznanih razlogov izpadla. Google poudarja, da to funkcijo še intenzivno razvijajo in bo nared v prihodnjih mesecih. V vmesnem času lahko uporabljamo klasiko - vzorec, številčno kodo ali geslo. Google dodaja še, da prepoznavanje obraza v Pixlu 4 sicer deluje dobro, saj ga drugi načini, denimo fotografije, ne morejo...

13 komentarjev

Pixel 4 se odklene tudi pred spečim človekom

BBC - Googlox novi pametni telefon Pixel 4 ima funkcijo samodejnega odklepanja s prepoznavanjem obraza, kar postaja v novejših telefonih že običaj. Toda pri tem so pustili zijati veliko varnostno luknjo, saj lahko telefon odklenemo, četudi spimo. Z drugimi besedami: če telefon pred naš obraz, medtem ko spimo, postavi nekdo drug, se bo telefon odklenil.

Da je to problem, je Apple že ugotovil, zato njegov FaceID zahteva, da imamo odprte oči. Celo starejši Android 4.1 je zahteval, da pomežiknemo, če se mu je zdelo, da smo preveč nepremični, na primer če gleda v spečega človeka ali v fotografijo. Novi Android je imel v demo verzijah Pixla 4 celo možnost, da zahtevamo, da so oči odprte, ki pa je iz končne verzije izpadla. In ker Pixel 4 nima bralnika prstnih odtisov, je prepoznavanje obraza edini način za biometrični odklep telefona. Ob tem je treba biti pošten in povedati, da s prstnim odtisom prav tako lahko odklenemo telefon spečega človeka, a ga bomo verjetno pri grabljenju za prst...

29 komentarjev

Prepoznavanje obraza na Galaxyju S10 za odklep ni varno

Za Samsung Galaxy S10 sta dovolj podobna, da se odklene.

Slo-Tech - Novi Samsungov Galaxy S10 ima kamero, ki omogoča tudi odklep s prepoznavanjem obraza. To ni nič novega, prav tako pa ni nič novega dejstvo, da jo zlahka pretentamo. Zadostuje že natisnjena fotografija, za povrhu pa je to lahko tudi naš brat.

Zanimivo je, da je Samsung stopil korak nazaj. Galaxy Note 7 in njegovi nasledniki S8, Note 8, S9 in Note 9 so imeli posebno strojno opremo, skupaj z IR LED in kamero za branje šarenice, za pametni odklep. S10 pa te opreme nima več, temveč uporablja zgolj običajno kamero. Razloga ne poznamo, ni pa tako iz trte izvita razlaga, da je imel Samsung...

70 komentarjev

WebAuthn standardiziran, pot v splet brez gesel odprta

Slo-Tech - Konzorcij za svetovni splet (W3C), ki je pristojen za potrjevanje standardov, je objavil končno verzijo Web Authentication API, ki je s tem postal standard WebAuthn. Gre za tehnologijo, ki so jo leta 2015 prvi predlagali velikani Apple, Google, Microsoft, Intel in drugi, prva pa sta jo v praksi udejanjila Dropbox in Microsoft. Danes jo podpirajo vsi veliki brskalniki, tudi Chrome, Firefox in Safari.

WebAuthn je API, ki spletnim stranem omogoča izvajanje avtentikacije (preverjanje pristnosti) s komunikacijo z varnostno napravo, ki ji uporabnik dovoli dostop. To je lahko na primer varnostni ključ FIDO ali biometrika. Tako lahko sedaj uporabljamo prstne...

23 komentarjev

LG G8 vas prepozna po venah

Slo-Tech - Biometrika je že dodobra zakorakala med pametne telefone, ki se ne odklepajo več le s prstnimi odtisi, temveč tudi s prepoznavanjem obraza. LG pa je šel še korak dlje in predstavil telefon, ki nas prepozna po vzorcu ven. LG G8 ThinQ za odklep prebere vzorec ven na dlani, kar so v podjetju poimenovali Hand ID. V osnovi gre za podoben koncept kot pri prepoznavanju obraza, le da naj bi bilo sistem bistveno teže pretentati.

Telefon ima posebno kamero za IR, ki zazna vzorec ven v dlani. Druga, 3-D kamera (ToF - time of light) pa prepozna obliko, debelino in druge značilnosti dlani. V praksi to poteka tako, da telefonu približamo dlan nad kamero za selfije, pa se bo odklenil. Prvi preizkusi kažejo, da je...

7 komentarjev

Bojda že zlomili Applov FaceID na iPhonu X

Slo-Tech - Dober teden dni po izidu iPhona X so strokovnjaki že uspeli razbiti prepoznavanje obraza FaceID, ki ga novi iPhone uporablja za identifikacijo uporabnika in odklep naprave. Vietnamsko podjetje Bkav, ki je že leta 2009 premagalo podobno zaščito na prenosnikih Toshiba in Lenovo, trdi, da lahko s 150 dolarjev vredno obrazno masko prelisičijo FaceID. Priložili so tudi videoposnetek, ki to podkrepljuje. Vse podrobnosti še niso znane, a če so bodo navedbe neodvisno potrdile, je novi iPhone precej manj varen, kot bi Apple želel.

Za uspeh so potrebovali 3D-tiskalnik, silikon in nekaj fotografij. S 3D-tiskalnikom so natisnili bel odlitek, ki so ga pritrdili na kovinsko ogrodje. Pri tem so seveda upoštevali, da dimenzije natisnjenega odlitka ustrezajo dejanskemu obrazu. Nanj so...

52 komentarjev

Odklep Galaxyja S8 s prepoznavanjem šarenice zlomljen

ccc.de - Ko je Samsung izdal novi Galaxy S8, je vgrajeno prepoznavanje šarenice hvalil kot praktično nezlomljivo. Tehnologijo je prispevalo podjetje Princeton Identity, ki trdi, da je tehnologijo tako varna, da je Samsung omogočil uporabo identifikacije s šarenico za plačila s Samsung Pay. In kot smo potihoma pričakovali, so ta način identifikacije hitro zlomili.

Nemški CCC (Chaos Computer Club) sporoča, da je bralnik šarenice zelo enostavno pretentati. Potrebujemo le "umetno oko" - to je dobro fotografijo lastnika, iz katere so razvidne strukture v šarenici. Zato zadostuje že posnetek z navadnim fotoaparatom z razdalje dveh metrov. Take fotografije ni tako težko dobiti, potem jo lahko natisnemo z navadnim laserskim tiskalnikom. Zanimivo,...

15 komentarjev

Galaxy S8 lahko odklenete tudi s fotografijo

Slo-Tech - Samsungov nov pametni telefon Galaxy S8 ima med ostalimi bonbončki tudi možnost odklepa s prepoznavanjem biometričnih značilnosti uporabnika. Z drugimi besedami: Galaxy S8 lahko odklene s svojim prstnim odtisom, s šarenico ali prepoznavanje obraza. Slednja funkcija je bolj kisel bonbonček, so pokazali zadnji preizkusi, saj jo je mogoče pretentati že -- s fotografijo.

Španski uporabnik je pokazal, da zadostuje preprost selfie. Odklep telefona je imel nastavljen na prepoznavanje obraza. Potem je z drugim telefonom napravil selfie in ga pokazal Galaxyju S8, ki se je hitro odklenil. Zvijača je enostavno ponovljiva.

Samsung ni prvi, ki se je ujel v to zanko. Ko je Google dodal Face Unlock že v Android 4.0 leta 2011, ga je bilo mogoče...

25 komentarjev

Samsungu ne bo uspel čitalnik prstnih odtisov pod zaslonom

Slo-Tech - Ena izmed vidnih odlik prihajajočega Samsungovega pametnega telefona Galaxy S8 bo ogromen zaslon, ki bo pokrival skoraj celotno sprednjo stran. Samsung je želel tja stlačiti tudi čitalnik prstnih odtisov, ki je v S7 še vedno pod spodnjim gumbom na sprednji strani. Tehnologijo za neopazno vgradnjo čitalnika pod zaslon je razvijal Synpatics, a je v končni verziji telefona ne bo.

Razvoj Samsungovega Galaxyja S8 je namreč že bolj ali manj končan, telefon pa prehaja v proizvodnjo fazo. Medtem pa kalifornijski Synaptics še vedno ni uspel dokončati razvoja čitalnika pod zaslonom, tako da bi ta deloval dovolj zanesljivo. To bi bila precejšnja prednost, saj takega telefona še ni, a ga žal tudi še nekaj časa ne bo. Niti izdatne Samsungove finančne injekcije v...

22 komentarjev

NEC: pozabite prstne odtise, tu je prepoznavanje oblike ušesnega kanala

Slo-Tech - Japonska multinacionalka NEC razvija nov sistem za ugotavljanje identitete uporabnika, ki temelji na unikatni obliki ušesnega kanala. V podjetju trdijo, da je metoda hitrejša, manj občutljiva in prijaznejša od branja prstnih odtisov ali slikanja šarenice.

Za uporabo potrebujemo slušalke z vgrajenim mikrofonom, ki si jih nadenemo. Med ugotavljanjem identitete slušalke oddajajo nekaj sto milisekund dolg zvočni vzorec, ki ga vgrajen mikrofon posname. Zaradi odbojev v slušnem kanalu je prejeti zvok nekoliko drugačen, kar je mogoče enolično povezati s posameznikom, so ugotovili v NEC-u. Trenutno je sistem 99-odstotno zanesljiv, do komercializacije leta 2018 pa bodo morali to zanesljivost še izboljšati.

Spomnimo, da je...

20 komentarjev

Namesto PIN-a MasterCard želi selfi in prstni odtis

Financial Times - Precej časa je trajalo, da smo plačilne kartice z magnetnim zapisom nadgradili v takšne s čipom, kjer istovetnost dokazujemo z vnosom številke (PIN), pa še pri tem so onstran Atlantika v ogromnem zaostanku. Na tej strani Luže pa se MasterCard spogleduje z identifikacijo s prepoznavanjem obraza in branjem prstnih odtisov. V Veliki Britaniji in še nekaterih državah (med njimi Italija, Nemčija, ZDA) bodo že poleti poizkusno uvedli tovrstno identifikacijo, saj so pilotni preizkusi na Nizozemskem in v ZDA dali pozitivne rezultate.

Sistem se bo imenoval Selfie Pay in bo uporabnikom omogočal, da namesto vnosa PIN-a pogledajo v pametni telefon za prepoznavo obraza in oddajo prstni odtis, če bodo seveda namestili ustrezno aplikacijo. Najprej bodo morali na MasterCardove strežnike prenesti svojo sliko, ki se bo uporabljala kot...

41 komentarjev

Pametni odklep Androida ve, kdaj ste ga dali iz rok

Slo-Tech - Google je v svoj Android 5.0 dodal možnost pametnega odklepanja telefona, ki nam bo prihranil ponavljajoče vnašanje kode za odklep. Če imamo vključen samodejen zaklep telefona in večkrat pogledamo nanj, recimo med hojo, je skrajno nadležno vedno znova vtipkovati kodo ali risati vzorec. Zato je Google pripravil funkcijo pametnega odklepa, ki telefoni pusti odklenjen, dokler ga imate v žepu.

Zamisel je preprosta. Če imate telefon v žepu, ga vzamete v roke in odklenete, nato pa pospravite nazaj v žep, ga imate ves čas v posesti vi. In zato ga nima smisla vdrugo spet odklepati. Android bo z žiroskopi in pospeškomeri na telefonu ugotovil, kdaj ste telefon dali od sebe in ga položili na, denimo, mizo. Šele tedaj se bo telefon zaklenil. Zamisel je preprosta,...

29 komentarjev

V ZDA se pripravlja največji biometrični sistem za sledenje

New Scientist - V ZDA se pripravlja nov sistem za množični nadzor, ki ga predlagatelji, financerji in podporniki utemeljujejo z bojem proti terorizmu in kriminalu. Začenja se namreč uresničevati program NGI (Next Generation Identification), v katerega bo FBI vložil milijardo dolarjev, zamislili pa so si ga že davnega leta 2005. Sistem so preizkusno v nekaterih zveznih državah že začeli uporabljati, do konca leta 2014 pa naj bi zaživel v celotnih ZDA. Implikacije so raznovrstne.

NGI bo namreč vzpostavil centraliziran sistem za sledenje posameznikom na podlagi biometričnih podatkov - posnetki šarenice, sledovi DNK in prepoznavanje govora, seveda pa bo v prvi vrsti v uporabi prepoznavanje obraza (facial recognition). Nekaj...

106 komentarjev