Tenemos una relación de amor-odio con ID biométrica. Después de todo, se ve tan increíble cuando el héroe en una película de ciencia fidelidad ingresa al área de acceso restringido después de haber escaneado su mano e iris. Pero eso es lo mejor que puedes decir sobre la seguridad biométrica. Es conceptualmente defectuoso en un montón de maneras, y casi todas las implementaciones que hemos visto se quebran antes o más tarde.
Caso en el punto: prolífico hacker anti-biometría [Starbug] y un grupo de amigos en el CCC de Berlín pueden autenticarse en el sistema de pago “Samsung Pay” a través del escáner IRIS. El video, incrustado a continuación, le muestra cómo: Tome una imagen del ojo del objetivo, imprimiéndolo y sosténgalo al teléfono. ¡Eso fue difícil!
Aparte del sarcasmo, el sensor IRIS usa IR para reconocer los patrones en su ojo, por lo que [Starbug] y Co. tuvieron que usar una cámara con el modo de visión nocturna. Una lente de contacto colocada sobre la foto completa la ilusión: estamos adivinando que obtiene las reflexiones de la iluminación de la habitación. Sin patrones de huellas digitales de grabado en cobre, sin gel conductor, solo una impresión y una lente de contacto.
Hemos despachado sobre la inseguridad de las huellas dactilares antes; No son un buen secreto, son irrevocables, y son difíciles de almacenar de forma segura. Y además de estos problemas conceptuales, son bastante falsificables, ya que [Starbug] y muchos otros han demostrado, yendo hacia atrás.
Entonces, ¿por qué los usamos todavía? Los lectores de huellas dactilares y los escáneres de iris son de seguridad “lo suficientemente buena” y son divertidos para hackear. ¿Debes agregar uno a tu proyecto para las sonrisas? Absolutamente. ¿Debe exigir que su ciudadanía los use para la autenticación, o utilícelos para la seguridad real? No lo haríamos.
Video PlayerHTTP: //cdn.media.ccc.de/contributors/berlin/biometrie/h264-hd/biometrie-11-eng-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4
00:00
00:00
01:16
Gracias [MBLN] para la propina!