A Samsung quer que você acredite que a tecnologia de leitura de íris em seu novo topo de linha, o Galaxy S8, é imbatível. Mas não deve ser surpresa alguma para quem presta atenção ao mundo da segurança que esse não é o caso. Aliás, o novo leitor de íris da Samsung é muito fácil de enganar.
• Oito extensões que devem tornar sua navegação um pouco mais à prova de hackers
• [Giz Explica] O que é o ransomware e como se proteger dele
Um pesquisador de segurança do Chaos Computer Club, em Berlim, recentemente conseguiu o feito com apenas uma câmera, uma lente de contato e uma impressora. Para fazê-lo, Jan “Starbug” Krissler simplesmente usou o modo noturno em uma câmera digital Sony para tirar uma foto dos olhos de um amigo (usar o modo noturno ou remover o filtro infravermelho de uma câmera facilita capturar os detalhes de padrão da íris em pessoas com olhos escuros). Então, usando uma impressora Samsung, ele imprimiu uma imagem em tamanho real de um olho e colou uma lente de contato à imagem para dar profundidade. Evidentemente, o leitor de íris do Galaxy S8 não sabia a diferença entre esse projeto artístico e o olho de verdade do dono do telefone. Um segundo depois, o hacker tinha acesso total ao aparelho, incluindo ao Samsung Pay.
Isso parece assustador, mas considere as ressalvas. Um hacker precisaria ser muito determinado, e provavelmente meio esquisito, para ganhar acesso aos seus dados falsificando sua íris. Afinal de contas, há muitas maneiras de hackear um smartphone, incluindo enganar o leitor de digital ou o software de reconhecimento facial. O Starbug, aliás, é famoso por ter contornado o leitor de digital do Touch ID, da Apple, apenas 48 horas depois de seu lançamento, enquanto outro hacker supostamente enganou o sistema de reconhecimento facial do Galaxy S8 com uma foto, no mesmo dia em que a Samsung lançou o dispositivo.
Imagem: Samsung
Mas vamos presumir que o truque do leitor de íris seja o último recurso. Embora o método de Starbug seja simples, um hacker ainda precisaria chegar relativamente perto do rosto de uma vítima para tirar uma foto boa de seu olho (Starbug diz que isso é possível de até 4,5 metros). Tem ainda toda a questão da impressão, que estaria limitada à qualidade da impressora (ironicamente, Starbug conseguiu os melhores resultados com uma impressora Samsung). E então o hacker precisaria ter acesso físico ao dispositivo.
Um hacker razoável passaria por todas essas etapas, quando é provavelmente possível roubar seus dados mais facilmente? Certamente não. A Samsung está falando um monte de besteira quando diz que as íris “são virtualmente impossíveis de se copiar” e que a “autenticação por íris é uma das maneiras mais seguras de manter seu telefone travado e os conteúdos privados”? Com certeza, e a empresa provavelmente sabe disso.
Imagem: Samsung
Essa não é nem a primeira vez que a Samsung foi repreendida por causa de um leitor de íris vulnerável. O próprio Starbug conseguiu enganar uma tecnologia comum de leitura de íris feita pela Panasonic, usando apenas uma busca de imagem no Google e uma impressora. Isso levou muitos especialistas a se preocuparem com a segurança do leitor de íris do Galaxy Note 7. Por outro lado, o Note 7 tinha problemas muito maiores do que um leitor de íris ruim. No entanto, a tecnologia no Galaxy S8 é feita por uma empresa chamada Princeton Identity Inc., não a Panasonic.
Não está claro se a Samsung sabe sobre a vulnerabilidade do leitor de íris ou o que ela planeja fazer — ou se planeja fazer algo. Entramos em contato com a empresa e vamos atualizar essa publicação se tivermos uma resposta. Enquanto isso, não presuma que seu novo Galxy S8 seja impenetrável. Hackers provavelmente não vão tentar invadir seu telefone por meio do leitor de íris, mas essa notícia nos lembra uma grande verdade do mundo da segurança: nada é impenetrável.
Atualização, 24 de maio às 11:37: A Samsung enviou seu posicionamento oficial sobre o caso, a íntegra está a seguir.
“Estamos cientes do relatório, mas gostaríamos de assegurar aos nossos clientes que a tecnologia de reconhecimento de íris no Galaxy S8 foi desenvolvida por meio de rigorosos testes, visando fornecer um alto nível de precisão e evitar tentativas de comprometer sua segurança, por meio de imagens da íris de uma pessoa.
As alegações do repórter só poderiam ter sido feitas sob uma rara combinação de circunstâncias. Exigiria a situação improvável de ter posse da imagem de alta resolução da íris do proprietário do smartphone com câmera de IR, uma lente de contato e posse de seu smartphone ao mesmo tempo. Conduzimos demonstrações internas nas mesmas circunstâncias, porém foi extremamente difícil replicar esse resultado.
Se houver uma potencial vulnerabilidade ou o advento de um novo método que desafie nossos esforços para garantir a segurança a qualquer momento, responderemos o mais rápido possível para resolver a questão.”
[CCC via Motherboard]
Imagem do topo: CCC