Samsung Galaxy S5 neodporen na star trik odlitka prstnih odtisov

Tudi Samsungov najnovejši pametni telefon Galaxy S5 je povsem neodporen na napad z odlitkom prstnega odtisa, s katerim so v nemškem CCC lani uspeli zlomiti Applovo zaščito TouchID. Ne le da se Samsung ni naučil ničesar, preskočili so tudi nekaj varnostnih praks, ki jih konkurenca vendarle uporablja.

Problem biometričnih podatkov je, da predstavljajo kompromis med praktičnostjo varnostjo. Medtem ko pri vsakdanjih aktivnostih svojega gesla ne delite naokoli, svoje prstne odtise nenadzorovano puščate po svetu. In medtem ko se pri zasliševanju lahko vsaj nekaj časa izgovarjate, da se gesla ne spomnite, prstnih odtisov ne morete skriti ali pozabiti.

Applov TouchID so lani uspeli zlomiti v manj kot 48 urah po izidu, zato bi pričakovali, da se je Samsung iz tega kaj naučil. Izkazalo se je, da se ni prav nič, saj povsem enak primitiven odlitek prstnega odtisa pretenta tudi Galaxy S5 - res pa je, da so potrebovali štiri dni za zlom. Odlitek so izdelali iz posnetka prstnega odtisa na stekleni površini, ki so ga posneli z v telefon vgrajeno kamero, ter potem vlili v plastično maso. Samsung je bil tu tako površen, da telefon sploh ne omejuje števila napačnih prijav. Na iPhonu je treba v takem primeru vpisati geslo, pri Samsungu pa lahko tudi po ponovnem zagonu poizkušamo v nedogled.

Dodatno težavo predstavlja povezava ugotavljanja istovetnosti s prstnimi odtisi z drugimi aplikacijami, recimo s PayPalom. Aplikacija za PayPal ne potrebuje nobenega gesla, ampak zgolj prstni odtis, tako da vam lahko nepridiprav ukrade precej denarja s kreditne kartice, če pridobi vaš prstni odtis. PayPal se je odzval s pojasnilom, da v trenutni implementaciji prstni odtis lokalno odklene ključ, ki ga PayPal uporabi za avtentifikacijo, zato ga je mogoče kadarkoli preklicati. PayPal sam pa ne hrani nobenih prstnih odtisov niti ne mogoča direktne prijave s prstnim odtisom.