Samsung esitteli äskettäin Galaxy S8 on yksi ensimmäisistä älypuhelimista, jotka on varustettu iirislukijalla käyttäjän todentamiseksi. Kasvojentunnistuksen ja sormenjälkitunnistimen ohella tämän piti olla turvallisin todennusmenetelmä puhelimessa koskaan. Asiantuntijat osoitteesta CCC (Chaos Computer Club), mutta nyt he ovat osoittaneet, että Samsungin insinöörien on työstettävä skannerin turvallisuutta, koska he onnistuivat rikkomaan sen.
Samaan aikaan hakkerit tarvitsivat suhteellisen tavallisia laitteita: valokuvan puhelimen omistajasta, tietokoneen, tulostimen, paperin ja piilolinssin. Kuva otettiin infrapunasuodattimella ja tietysti henkilön piti olla silmät auki (tai ainakin yksi). Myöhemmin tarvittiin vain tulostaa valokuva silmästä lasertulostimella, kiinnittää valokuvaan piilolinssi iiriksen tilalle ja se oli tehty. Lukija ei edes epäröinyt ja avasi puhelimen lukituksen sekunnissa.
Tämä vahvistaa jälleen kerran, että turvallisin on edelleen vanha kunnon salasana, jota kukaan ei voi varastaa päästäsi, eli jos sosiaalista manipulointia ei lasketa, ja ennen kaikkea se voidaan muuttaa milloin tahansa, jota ei voi sanoi biometriseen todentamiseen käytetyistä ruumiinosista. Sormenjälkitunnistinta voidaan huijata monta vuotta ja heti ensiesityksen jälkeen Galaxy S8 olemme vakuuttunut, että pelkkä valokuva riittää, että joku pääsee puhelimeen kasvojentunnistustoiminnon kautta.
Päivitetty Samsung Electronicsin Tšekin ja Slovakian lausunnosta:
"Olemme tietoisia raportoidusta tapauksesta, mutta haluamme vakuuttaa asiakkaille, että puhelimissa käytetty iirisskannaustekniikka Galaxy S8 testattiin perusteellisesti sen kehittämisen aikana korkean tunnistustarkkuuden saavuttamiseksi ja siten turvallisuuden läpimurron välttämiseksi esim. siirrettyä iiriskuvaa käyttämällä.
Se, mitä ilmiantaja väittää, olisi mahdollista vain hyvin harvoin olosuhteiden yhdistelmässä. Se vaatisi erittäin epätodennäköisen tilanteen, jossa älypuhelimen omistajan korkearesoluutioinen kuva iiriksestään, piilolinssistään ja itse älypuhelimesta olisi väärissä käsissä, kaikki samaan aikaan. Teimme sisäisen yrityksen rekonstruoida tällainen tilanne tällaisissa olosuhteissa, ja ilmoituksessa kuvatun tuloksen toistaminen osoittautui erittäin vaikeaksi.
Jos kuitenkin on olemassa hypoteettinen mahdollisuus tietoturvaloukkauksesta tai horisontissa on uusi menetelmä, joka voisi vaarantaa pyrkimyksemme ylläpitää tiukkaa turvallisuutta ympäri vuorokauden, ryhdymme asiaan viipymättä."
