Hírünket alul a Samsung hivatalos állásfoglalásával frissítettük - Bone123. Adataink, képeink és ismerőseink elérhetőségének védelme kulcsfontosságú csatlakoztatott világunkban, és az okostelefonok jelszavas, mintás vagy PIN-es zárolásán túl az utóbbi években elterjedtek a biometrikus rendszerek, ahol maga a felhasználó jelenti az azonosítás alanyát és tárgyát. Ilyen a képernyőbe épített, avagy a készülékházra biggyesztett ujjlenyomat-olvasó, a 2D-s / 3D-s feltérképezésen alapuló arcfelismerés, vagy mondjuk az írisz azonosítása.
Komoly a rés a Galaxy S10 arcalapú azonosító rendszerében [+]
Nem minden feloldás született azonban egyenlően biztonságosnak, és a 2D-s megoldások kullognak a biometrikus sor legvégén. Ennek tudatában is sokkoló volt, amikor Szentkuti11 kolléga az arcommal védett Pocophone F1 tesztkészüléket egy pillantással feloldotta, pedig nagyjából annyi közös vonásunk van, hogy a férfi nemhez tartozunk, és (egyébként eltérő hosszúságú) szakállt viselünk. Az arcfelismerés hatékonyságát tesztelendő, nekem külön van pár nyomtatott önfotóm 1:1 méretben, fényes és matt változatban, és még egy kis ívet is szoktam hajlítani a papiroson, így imitálva hús-vér-szemüveg arcomat, hátha sikerül egy telefon védelmét áttörni. Ez a OnePlus modellek esetében például sosem sikerült, ám ettől még annyival kevésbé biztonságos a 2D-s a 3D-s variációknál, hogy az előbbit nem lehet mondjuk vásárlás során biometrikus hitelesítésre használni.
Csak egy önfotó és egy képernyő kell a 2D-s arcalapú védelem áttörésére [+]
A Galaxy Note9 és több, íriszleolvasóval szerelt elődje ezt persze átugrotta biztonságosabb rendszerével, így opció volt például egy honlapra a bejelentkezés egy pillantással. A Galaxy S10 széria azonban dobta a többelemes íriszleolvasást az egyszerűbb, szimpla/dupla kameraluk érdekében. Ezzel ugrott a magasabb szintű hitelesítés az arc (egy részét) használva – szerencsére, mert a 2D-s feloldás, a jelenlegi szoftververzión (lásd lejjebb) komoly kockázatokat rejt. Meglepően egyszerűen sikerült az S10-et és az S10e-t átejtenünk: adott fényviszonyok között regisztráltuk arcunkat az egyikkel, majd a másik Galaxyval lőttünk egy szelfit. Aztán, nyomtatás vagy bármilyen más trükk (pl. mozgókép) nélkül csak elé tartottuk az egyik S10-et a másiknak, és hoppá: sikeres feloldás!
Az arcfelismerés opciói, és az S10 szoftververziója, amelyen a dolgot próbálgattuk [+]
Létezik az arcfelismerés beállításai között egy gyorsabb felismerés névre hallgató opció, kis lábjegyzettel, miszerint, ha ez aktív, a biztonsági kockázat nő, és a telefon esetleg felismerheti a tulajt egy kép vagy videó alapján. Valóban: nem kell nagyon mozgatni a másik telefont a szelfikamera előtt, hogy az önfotóval feloldjon. Igen ám, de ezt kikapcsolva, és az önfotóba picit belenagyítva csak pár másodperccel több meló ugyanolyan sikerrel átverni az S10 biztonsági zárját, és ez azért súlyos rés, mert az embert bárki lefényképezheti, és ha megszerzi a mobilját, eséllyel hozzájut adataihoz, fotóihoz, fiókjaihoz, ismerőseinek elérhetőségéhez.
A slusszpoén, már ha bárki humorosnak tartja az esetet, a KnowTechie megjegyzése, miszerint saját arcvonásainkra kellően hasonlító rajzzal (!) is áttörhető az Galaxyk védelme. Ezt nem próbáltunk ki, szóval erről nem nyilatkoznánk, a Galaxy Note9 2D-s (azaz nem íriszalapú) védelmét azonban semmilyen önfotóval nem tudtuk átverni, tehát a új generáció biztonsági Mariana-árkán biztosan lehet szűkíteni egy frissítéssel. Jegyezzük meg: a készülék és a leírás is jelzi, hogy ez a fajta védelem kevésbé biztonságos, mint az ultrahangos ujjlenyomatos, én pedig egyébként is a legmagasabb szintű biometrikus zárat javaslom mindig, legyen az 3D-s vagy íriszalapú feloldás, képernyős vagy a házon elhelyezett ujjlenyomatos. De még ezeknél is hatékonyabb egy jó hosszú, random karakterekből álló jelszó.
Idő közben megérkezett a Samsung hivatalos álláspontja, amit teljes terjedelmében közlünk.
Az arcfelismerés a telefon feloldásának az egyik legkényelmesebb módja. A magas fokú biztonságot és adatvédelmet igénylő műveletekhez a Samsung az új, kijelzőbe épített ultrahangos ujjlenyomat-olvasó használatát javasolja, amely kizárólag a valódi ujjlenyomat beolvasása után oldja fel az eszközt.
Az ultrahangos ujjlenyomat-olvasó a FIDO Szövetség (Fast IDentity Online, FIDO Alliance) Biometrikus Elemekre vonatkozó hitelesítésével rendelkező technológia, amely egy zárható széf védettségi szintjét nyújtja és így mérföldkövet teremt az iparágban a biometrikus technológiával ellátott eszközök számára.
