אבטחת טביעת האצבע של גלקסי S5 נפרצה
חוקרים מדגימים בסרטון איך ניתן להכנס למכשיר באמצעים פשוטים יחסית ולחטוף חשבון פייפאל. הבעיה העיקרית: בניגוד למכשירים, טביעת אצבע צריך לגנוב רק פעם אחת. שמרו את האצבעות אצלכם
סמסונג מציגה בטלפון הדגל החדש שלה מנגנון פתיחה באמצעות טביעת אצבע, חברת האבטחה הגרמנית Srlabs מדגימה איך ניתן לפרוץ אותו בקלות. בסרטון שפורסם נראה חוקר משתמש ביציקת דבק כדי לפתוח את המכשיר ואפילו להתחבר לפייפאל.
יציקת הדבק הזו שימשה בשנה שעברה להדגמת פריצה לאייפון 5S. היא הוכנה מטביעת אצבע על מסך המכשיר. בתהליך ההכנה היא צולמה (באמצעות אייפון 4S) הודפסה במדפסת והועברה לתבנית נחושת. כלומר, לא כל עובר אורח לפרוץ למכשיר, אבל זה בהחלט אפשרי למי שרוצה.
לדעת החוקרים הכשל בסמסונג גדול יותר. הסיבה הראשונה היא שהמכשיר נותן כמה נסיונות להעביר את האצבע לפני שהוא מבקש ססמה לפתיחת המכשיר, כך שאפשר להכין כמה טביעות אצבע מזוייפות. הבעיה השנייה שמוצגת היא שהמכשיר משתמש בזיהוי טביעת האצבע באפליקציות. בסרטון מודגמת התחברות לפייפאל. מפייפאל הגיבו לחברת האבטחה והסבירו כי למרות שהם לוקחים את האזהרה ברצינות, לשיטתם מדובר בדרך נוחה ובטוחה יותר מקוד. טביעת האצבע אינה מועברת לשרתים שלהם אלא מייצרת צופן שנשלח ממש כמו סיסמה. זאת ועוד על פי החברה יש לה מנגנון זיהוי הונאות וכמובן, ברגע שטלפון נגנב ניתן לחסום את החשבון לחלוטין, כך שגם האבצע לא תפתח אותו.
עדכון: מסמונג נמסר בתגובה כי "זהו תרחיש שנחשב בתעשייה ככזה שאינו מציב סיכון קריטי לצרכנים פרטיים. הניסוי המלאכותי הזה דורש שילוב נדיר של חומרים, תנאים וחלקי ציוד מקצועיים. סמסונג מתייחסת לנושאי הבטחון ברצינות רבה ואנו ממשיכים לנקוט צעדים נמרצים לחיזוק בטחון המכשיר".
הקוד
הבעיה המרכזית בשיטת האבטחה הזו אינה חיובים או פריצה חד פעמית לפייסבוק במקרה הנדיר בו ייגנב המכשיר. הבעיה עמוקה הרבה יותר: טביעת האצבע אינה ססמה, אלא שילוב של שם משתמש וססמה ייחודיים שיתרונם בנוחות. ברגע שתיגנב טביעת האצבע היתרון הופך לחיסרון: לא ניתן לשנות את הפרטים היחודיים האלה ואם למשתמש יש כמה חשבונות המאובטחים כך , ושמכילים מידע חשוב בענן וזהויות רשתיות, התוצאות עשוית להיות הרסניות.
החוקר שפרץ את הסמסוג בן שלבס (Ben Schlabs) אמר לארסטכניקה: "ססמאות יכולות להשתנות אם הן דלפו או נגנבו. הן גם יכולות להישמר בסודיות" שלבס מוסיף כי אפשר להכריח משתמש פיזית לפתוח מכשירים עם האצבע וכי "על משתמשים להיות מודעים לכך שרמת האבטחה המווצעת בטביעות האצבע נחותה מזו של הססמאות. טביעת אצבע יכולה להגן מחטטנים אקראים, אבל לא להגן מפני הונאה מכוונת". בארסכניקה מציינים כי זו רק קבוצה אחת של חוקרים שפרצה בהצלחה את ה-S5.
