QR code per la pagina originale

Galaxy S8, lo scanner dell’iride non è sicuro

Gli hacker del Chaos Computer Club hanno trovato un metodo per ingannare lo scanner dell'iride del Galaxy S8, ottenendo l'accesso allo smartphone.

,

Il Samsung Galaxy S8 offre tre tecnologie di autenticazione biometrica. Oltre al diffuso lettore di impronte digitali ci sono anche il riconoscimento facciale e la scansione dell’iride. Il gruppo di hacker tedeschi del Chaos Computer Club (CCC) hanno dimostrato che lo scanner dell’iride può essere ingannato, utilizzando un semplice trucco. Bastano infatti una foto ravvicinata degli occhi, una stampante laser e una lente a contatto.

Circa un mese fa, Samsung aveva confermato che il riconoscimento facciale non è il metodo più sicuro per i pagamenti online, in quanto è sufficiente posizionare una foto in alta risoluzione del volto davanti alla fotocamera frontale per sbloccare lo smartphone. Il produttore coreano scrive sul sito ufficiale che “la scansione dell’iride rappresenta l’evoluzione massima in termini di sicurezza“, quindi è il metodo più adatto per Samsung Pay. Gli hacker del CCC hanno invece smentito questa affermazione. Con un hack abbastanza banale è possibile non solo sbloccare il Galaxy S8, ma anche al portafoglio digitale.

La tecnica prevede l’uso di una buona fotocamera digitale (lenti da 200 millimetri), sulla quale è stata impostata la modalità notte (o rimosso il filtro infrarossi). Si scatta una foto del volto da una distanza di circa 5 metri, si effettua lo zoom per ingrandire la zona dell’occhio, si applicano le necessarie modifiche (contrasto, luminosità e altri parametri) e quindi si stampa l’immagine con una stampante laser. A questo punto si posiziona una lente a contatto sull’occhio per simulare la sua curvatura. La fotocamera frontale crede di vedere un occhio vero e sblocca lo smartphone.

Secondo il gruppo di hacker è sufficiente anche una foto in alta risoluzione pubblicata su Internet per ottenere l’iride della potenziale vittima. Le soluzioni più sicure sono quindi le più tradizionali, ovvero il PIN e la password. Samsung ha rilasciato la seguente dichiarazione:

Siamo a conoscenza del problema, ma vorremmo rassicurare i nostri clienti che la tecnologia di scansione dell’iride del Galaxy S8 è stata sviluppata seguendo rigorosi test per fornire un elevato livello di accuratezza e prevenire i tentativi di compromettere la sua sicurezza, ad esempio con le immagini dell’iride di una persona. Se c’è una potenziale vulnerabilità o un nuovo metodo che mette in discussione i nostri sforzi per garantire la sicurezza in qualsiasi momento, noi risponderemo il più rapidamente possibile per risolvere il problema.