اختراق مستشعر البصمة في "غالاكسي إس 5"
أعلن فريق من شركة SRLaps للأبحاث الأمنية عن نجاحه في اختراق نظام التعرف على بصمة الإصبع المزود به هاتف "غالاكسي إس 5" الجديد من سامسونغ عبر إنتاج بصمة مزيفة تقارب بصمة المستخدم الحقيقية.
ونجح الفريق في إنتاج البصمة المزيفة عبر تصوير بصمة المستخدم الأصلية من الهاتف، حيث تكون مطبوعة من أثر الاستخدام إما على الشاشة أو على مستشعر قراءة البصمة أو على الجزء الخلفي من الجهاز
وتعالج البصمة عقب تصويرها على الحاسوب ليتم إبراز النقاط الأساسية فيها، وتهيئتها للطباعة عبر تحويلها إلى اللون الأبيض والأسود، ومن ثم طباعتها بدقة عالية وبحجم مناسب للبصمة الحقيقة باستخدام طابعة ليزر عادية.
ومن ثم تثبيت البصمة المطبوعة على قطعة من المعدن و تعريضها لضوء عالٍ لزيادة دقتها وتهيئتها للطباعة على طبقة من المطاط والغراء الأبيض، وذالك لخداع مستشعر قراءة البصمة.
وأشار الفريق الأمني إلى أنه لم يحتاج إلى إنتاج بصمة مزيفة جديدة لخداع المستشعر الموجود في "غالاكسي إس 5" حيث تم استخدام نفس البصمة التي تم إنتاجها العام الماضي لخداع المستشعر الخاص بهاتف "آيفون 5 إس" العام الماضي.
وأضاف الفريق أن عملية إنتاج البصمة المزيفة تحتاج لوقت وخبرة من المخترق لكيفية إنتاجها بدقة تقارب البصمة الحقيقية، إلا أنها ليست مستحيلة أو صعبة للغاية، مما يجعل إمكانية اختراق الأجهزة التي تعتمد على تلك المستشعرات متاحة.
وأضاف الفريق أن الخطورة الحقيقة وراء اختراق مستشعرات قراءة البصمة تكمن في القدرة على السيطرة على الهواتف دون الحاجة لتخمين كلمات السر، واستخدام التطبيقات التي يتم التحقق من المستخدم فيها عن طريق البصمة.
وأشار الفريق إلى خطورة الاعتماد على مستشعرات قراءة البصمة وحدها، حيث يتم استغلال البصمة المزيفة لتحويل أموال من حساب المستخدم الأصلي لهاتف "غالاكسي إس 5" عبر تطبيق خدمة "باي بال"، حيث كانت "سامسونغ" قد تعاونت مع خدمة تحويل الأموال عبر الإنترنت لتفعيل المستشعر الخاص بهاتفها الذكي الجديد كبديل لكلمات السر للتحقق من هوية المستخدم.
