Сканер відбитка пальця Samsung Galaxy S10 обдурили 3D-друкованою копією

Користувач сервісу Imgur обдурив сканер відбитка пальців смартфона Samsung Galaxy S10, створивши копію відбитка свого великого пальця на 3D-принтері. Він зазначає, що копія була створена на основі відбитка пальця, залишеного на келиху вина.

Традиційним методом захисту смартфона від несанкціонованого доступу вважається пароль. Але в останні роки майже всі виробники смартфонів стали оснащувати свої пристрої біометричними сканерами. Більшість подібних пристроїв сканують малюнок відбитка пальця, але є і більш незвичайні системи, наприклад, сканер райдужної оболонки очей в смартфонах Samsung, інфрачервоний об'ємний сканер обличчя в смартфонах Apple або сканер малюнка вен на долоні в смартфонах LG. Оскільки відбиток пальця, райдужна оболонка та інші частини тіла мають десятки і сотні параметрів, індивідуальних для кожної людини, виробники називають такі методи захисту надійними. Однак дослідники в галузі інформаційної безпеки досить швидко знаходять способи обійти ці методи після анонсування нових смартфонів.

Лінійка смартфонів Samsung Galaxy S10 була представлена в кінці лютого 2019 і однією з відмінностей її старших моделей S10 і S10 + від інших смартфонів стало те, що в них вперше використовується вбудований в екран ультразвуковий сканер відбитка пальців. Відмінність цього сканера від оптичних інтегрованих в екран сканерів полягає в тому, що він працює завдяки звуковим хвилям, що дозволяє створювати об'ємну модель відбитка, а не її плоский знімок. Це, на думку Samsung, підвищує надійність сканера і робить його більш стійким до атак.

Користувач Imgur під ніком darkshark показав, що цей сканер все одно можна обдурити, причому досить простим способом. Як вихідні дані він узяв відбиток свого великого пальця, залишений на келиху вина і знятий на смартфон. Таким чином він показав, що подібну атаку можна здійснити в реальних, а не лабораторних, умовах. Після отримання знімка darkshark зробив його бінарну чорно-білу версію, а потім створив на її основі 3D-модель, що відображає рельєф відбитка пальців. Цю модель він роздрукував на стереолітографічному 3D-принтері у вигляді тонкої прозорої полімерної платівки.

I attempted to fool the new Samsung Galaxy S10’s ultrasonic fingerprint scanner by using 3d printing. I succeeded.

Для розблокування смартфона виявилося досить просто притулити платівку до області сканування і натиснути на неї пальцем. Автор розповів, що йому довелося надрукувати три версії платівки, тому що він не відразу зміг підібрати потрібну глибину борознок на відбитку. Варто зазначити, що це не перший біометричний метод захисту Galaxy S10, який вдалося обійти простим способом. Наприклад, раніше систему розпізнавання обличчя за зображенням з камери вдалося обдурити, показавши їй фотографію або відео з обличчям власника, відкриту на іншому смартфоні.

Крім того, раніше дослідникам вдавалося обдурити біометричні сканери і на інших мобільних пристроях. Наприклад, сканер райдужної оболонки ока в Galaxy S8 обдурили фотографією і контактною лінзою, сканер обличчя FaceID в iPhone обійшли за допомогою 3D-друкованої моделі обличчя, а інфрачервоний сканер Windows Hello виявився нездатний відрізнити реальне обличчя від простої роздруківки на A4.