El escáner de iris se puede utilizar para desbloquear el Galaxy S8 simplemente mirando, lo que Samsung dice que proporciona una «seguridad hermética«.
Pero los investigadores del Chaos Computer Club han engañado fácilmente al dispositivo con una imagen de la foto de un ojo.
La característica de reconocimiento de iris en el nuevo smartphone Galaxy S8 de Samsung ha sido humillada por los hackers alemanes, menos de un mes después de que llegara a los estantes de todo el mundo.
El video ha sido publicado por el grupo de hackers Chaos Computer Club, un colectivo de hackers de larga trayectoria formado en Berlín en 1981, muestra cómo la seguridad puede ser engañada por un ojo ficticio al pensar que está siendo desbloqueado por el propietario legítimo.
El ojo artificial, que se hace usando apenas una impresora y una lente de contacto para dar la curvatura del ojo, se crea mejor usando las imágenes del iris tomadas con una cámara fotográfica digital en modo noche.
«El riesgo de seguridad para el usuario por reconocimiento del iris es aún mayor que con las huellas dactilares, ya que exponemos mucho más a nuestros iris», dijo el portavoz del grupo, Dirk Engling. «Si usted valora los datos de su teléfono, y posiblemente incluso quiere usarlo para pagar, es más seguro la tradicional protección de un password con el teclado que la autentificación usando partes del cuerpo”.
Engling advierte que «en algunas circunstancias, una imagen de alta resolución de Internet es suficiente para capturar un iris«, pero un portavoz de Samsung dijo que sería «imposible» usar una imagen normal de un iris, por muy alta resolución que sea, para poder engañar al sistema de seguridad.
En un comunicado, la compañía admitió que el ataque requiere «una rara combinación de circunstancias«. «Requeriría la situación inverosímil de tener posesión de la imagen de alta resolución del iris del dueño del teléfono del smartphone con la cámara del IR, de una lente de contacto y de la posesión de su smartphone al mismo tiempo. Sin embargo, hemos realizado demostraciones internas en las mismas circunstancias, y era extremadamente difícil replicar ese resultado». Y nosotros añadimos, “pero no imposible”.
El Galaxy S8 también viene con una función de reconocimiento facial, que fue tirado por los suelos antes de que el teléfono estuviese a la venta: se puede engañar con algo tan simple como una imagen impresa del propietario. El desafortunado Note 7 (descanse en paz) también tenía el mismo escáner de iris infrarrojo que el Galaxy S8.
El CCC es el mismo grupo que primero engañó los sensores de huellas digitales TouchID de Apple, unas semanas después de que el primer iPhone 5 llegara al mercado. El golpe a la seguridad se llevó a cabo con polvo de grafito, una máquina grabadora láser y pegamento de madera, todo para engañar a los sistemas de Apple haciéndole creer que se estaba utilizando un dedo real; aunque ello requiere el acceso físico a algo que el dueño del teléfono hubiera tocado. Un año más tarde, otro hacker mostraba una nueva forma de generar huellas dactilares operativas a partir de fotos de alta resolución.
Este hack es aún más simple, y podría ser factible con sólo una foto bajada de Facebook, una impresora láser convencional y una lente de contacto. «Sin duda, la parte más cara del hack de la biometría del iris, fue la compra del teléfono inteligente Galaxy S8», dijeron los hackers. «Irónicamente, obtuvimos los mejores resultados con impresoras láser hechas por Samsung«.
En sus materiales de marketing, Samsung afirma que «los patrones en sus iris son únicos para ti y son prácticamente imposibles de replicar, lo que significa que la autenticación del iris es una de las formas más seguras de mantener tu teléfono bloqueado y el contenido privado».
La revelación agregará más leña al fuego del debate sobre el uso de características biométricas como pases de seguridad. Si bien la biometría puede ser más cómoda y más difícil de robar o falsificar que las contraseñas, estos vienen con una gran pega: los usuarios no pueden cambiarlos si se encuentran con esa necesidad.