mboost-dp1

Samsung

Galaxy S5-fingeraftrykslæser omgået efter fire dage

- Via The Register - , indsendt af Pernicious

Ikke overraskende tog det ikke mange dage, før sikkerheden i Samsung Galaxy S5’s fingeraftrykslæser blev omgået.

Det tyske firma Security Research Labs (SRLabs), har i en video demonstreret, hvordan det lykkedes dem, at tage et billede af et fingeraftryk efterladt på en Galaxy S5, som de så overførte til en støbeform, der efterfølgende blev fyldt op med trælim. Efter at limen hærdede, kunne den kunstige finger nu bruges til at låse telefonen op med.

Metoden minder om den, der blev brugt til at omgå sikkerheden i Apple’s nyeste iPhone, hvilket skete på bare to dage. I dette lys stilles der spørgsmål ved, hvorfor der ikke er gjort mere ud af sikkerheden, specielt taget i betragtning af, at fingeraftrykslæseren på Galaxy S5 også kan bruges sammen med PayPal.

Problemet bliver ikke bedre af, at der ikke er nogen øvre grænse for, hvor mange gange man kan prøve at låse op for Galaxy S5 med sin finger, før man eksempelvis bliver spurgt om en pinkode.





Gå til bund
Gravatar #1 - RMJ
22. apr. 2014 15:32
De her firmaer skulle virkelig tage og se Mythbusters eller kontakte dem før de sætter sådan noget her i mobil telefoner.
Gravatar #2 - Zombie Steve Jobs
22. apr. 2014 15:38
Ja, det er jævnt patetisk men en pinkode kan aflures med en kraftig kikkert eller ens familie kan tages som gidsler og trues på livet, indtil man låser telefonen op eller NSA kan hacke den på et par kilometers afstand og hvad ved jeg.
Måske skulle man bare lade være med at miste telefonen, så er man da ude over alle problemer pånær gidselsituationen og NSA.
Gravatar #3 - TrolleRolle
22. apr. 2014 15:43
Fingeraftrykslæsere er jo bare en gimmick. Der er ingen inden for sikkerhed som anser det for noget som virker.

Det kan undre at Samsung er hoppet med på vognen med S5.
Det giver kun mening til hurtigt logon på devices som har flere brugere.
Gravatar #4 - Manofsciencemanoffaith
22. apr. 2014 15:43
Pinkode, mønster, fingeraftryk - fuldstændig ligemeget hvis vedkommende har fysisk adgang til telefonen.
Gravatar #5 - Seth-Enoch
22. apr. 2014 15:55
Hvor mange kender efterhånden ikke at man pludselig høre "HAH din kode er xxxx" og så har ens bror eller søster siddet hele aftenen til familietamtam og luret løs. Det er nok til sådan noget det fingeraftrykslæser er lavet og ikke toplevel security som mange af jer hidser sig op over?
Gravatar #6 - Boxcar
22. apr. 2014 16:31
Som #4 også skriver kan sikkerheden brydes hvis man har adgang til telefonen.

Men for de fleste normale mennesker/alle er det jo mere end nok at man ikke bare kan slide to unlock for at have fuld adgang til alle ting på telefonen, samt mulighed for at undgå at der bliver foretaget opkald fra den.
Hvis jeg skulle være så uheldig at få stjålet min telefon så giver fingeraftryk mig mere end rigeligt tid til at spærre den.
Inden min 5s havde jeg ikke kode på af den simple grund at det var besværligt at skulle taste den hver gang i løbet af de 100 gange jeg har fat i min telefon i løbet af dagen.

Hvis der virkelig er nogle tyve der gider bruge 2 dage med trælim på min telefon så skal de næsten have lov til det :)
Gravatar #7 - Oraklet
22. apr. 2014 17:03
Ja, ens adgangskode kan aflures. Det kræver dels 1 telefon, dels 1 stk. ejermand. Problemet opstår imidlertid, når den sidste del skæres ud af ligningen.
Gravatar #8 - El_Coyote
22. apr. 2014 17:09
Betyder det så at Galaxy S5 er dobbelt så sikker som iPhone? :v
Gravatar #9 - cryo
22. apr. 2014 23:00
Manofsciencemanoffaith (4) skrev:
Pinkode, mønster, fingeraftryk - fuldstændig ligemeget hvis vedkommende har fysisk adgang til telefonen.


Det holder kun i teorien. Systemer kan sagtens være lukket ned så du i praksis ikke kan få adgang. Man splitter ikke lige sådan en CPU ad for at finde dens hardware kryptonøgle, fx.
Gravatar #10 - SAN
22. apr. 2014 23:18
#9 Men det er jo ikke implementeret på nogle telefoner!! (til almindelige forbrugere)

En pinkode eller et fungeraftryk er jo heller ikke for at holde NSA og andre på samme kompetence niveau, ude, det er for at holde retarderede tyveknægte og snagende venner fra at lure ens telefon.

Jeg ser alle den type koder som middel mod "sjove" venner, nærmere end reél sikkerhed!
Gravatar #11 - MatriXz
23. apr. 2014 06:40
Umiddelbart ville jeg sige at temaet burde være:

"Galaxy S5, dum nok til at give fuld adgang til paypal direkte via fingeraftryks læser"

Der burde altid være behov for at taste en lang og kompliceret kode, hvergang man skal betale for en App eller coins i spil.. Da børn jo uden tvivl benytter sig af forældrenes telefoner, og de bare køber løst af coins uden at vide hvad de gør.

Hvis dette så altid kræver en kode, så er man det skridt tættere på sikkerhed.
Fingeraftryks læsere skal os laves i et materiale som er immun overfor at fedt kan hænge fast på overfladen efter berøring.. dvs man ikke bare tage et stykke tape og hive aftrykket af skærmen og derved replikere en kunstig finger med det korrekte aftryk..
Gravatar #12 - nwinther
23. apr. 2014 06:43
MatriXz (11) skrev:
Fingeraftryks læsere skal os laves i et materiale som er immun overfor at fedt kan hænge fast på overfladen efter berøring.


Men fingeraftryk kan jo findes mange steder på en telefon (eller andre steder).

BTW - er der nogen der rent faktisk bruger de fingeraftrykslæsere på f.eks. iPhone?
Gravatar #13 - Slettet Bruger [3000254616]
23. apr. 2014 06:53
nwinther (12) skrev:
BTW - er der nogen der rent faktisk bruger de fingeraftrykslæsere på f.eks. iPhone?


Ja.
Gravatar #14 - Bifrost
23. apr. 2014 07:09
nwinther (12) skrev:
BTW - er der nogen der rent faktisk bruger de fingeraftrykslæsere på f.eks. iPhone?


Ja, man ligger slet ikke mærke til at funktionen er slået til..

jeg tror jeg har prøvet 1 gang at den spurgte om at "prøve igen"
Gravatar #15 - Razzia
23. apr. 2014 07:24
nwinther (12) skrev:

BTW - er der nogen der rent faktisk bruger de fingeraftrykslæsere på f.eks. iPhone?


Bare for melde mig i koret. Ja - som nævnt opdager man nærmest ikke, at den bruges. Klikker på homeknappen for at aktivere skærmen og samtidig låser den telefonen op - slut med at indtaste koder.

Savner det ret meget, når jeg bruger en ældre iPhone eller en iPad :-)
Gravatar #16 - testbruger42
23. apr. 2014 07:26
Bruger det konstant. Mange gang sætter jeg min finger på home button på min iPad og tænker, nåh ja - det kan den ikke. Det er virkelig fedt. Måske 10% af gangene virker det, når den har "trænet" lidt eller at jeg ved hvordan jeg skal gøre, og jeg har registreret både pegefinger på den ene hånd og begge tomler.
Gravatar #17 - markjensen
23. apr. 2014 07:35
testbruger42 (16) skrev:
Måske 10% af gangene virker det,


Virker det kun 10% af gangene når du bruger TouchID eller har jeg misforstået dig?


iOS 7.1.1 udkom forresten i går og skulle have TouchID-forbedringer (jeg har dog ikke lagt mærke til at det skulle være bedre, men for mig virkede det også godt i forvejen)
Gravatar #18 - HenrikH
23. apr. 2014 07:49
TrolleRolle (3) skrev:
Fingeraftrykslæsere er jo bare en gimmick. Der er ingen inden for sikkerhed som anser det for noget som virker.

Det samme gælder vel mønster på touchskærme og pin på knap-telefoner?

Det kræver jo at folk renser deres skærm ordentligt, ofte, for at dette ikke kan aflures ud fra fingermønstre. Det kan selvfølgelig være at det er sværere ved spil, men mønsteret er der som regel.

Slidte knapper på knap-telefoner ligeså.

En sikkerhed beregnet til at enhver ikke lige kan se alt med det samme er ikke sikkerhed.
Gravatar #19 - Lares
23. apr. 2014 07:56
#18 - Sådan som jeg fedter rundt med fingrene på min mobils touchskærm, så er der sgu ikke nogen, der kan se, hvad der er mønster, pin eller bare bare almindelig brug.
Gravatar #20 - Thinq
23. apr. 2014 08:06
Der er vel ikke noget krav til hvilken finger man bruger til at låse op med? Hvis man bruger en finger fra venstre hånd (som man ikke bruger på skærmen normalt) og i øvrigt sørger for at tvære aftrykket efter oplåsning, så er der vel ret ringe chancer for at nogen kan genskabe det rigtige aftryk, selv hvis de får fat i din telefon.
Gravatar #21 - Zombie Steve Jobs
23. apr. 2014 08:50
Bifrost (14) skrev:
Ja, man ligger slet ikke mærke til at funktionen er slået til..

jeg tror jeg har prøvet 1 gang at den spurgte om at "prøve igen"


Nu får jeg helt lyst til at købe en. Min mor har heldigvis en, må bede hende om at slå det til.
Gravatar #22 - Athinira
23. apr. 2014 09:05
SAN (10) skrev:
#9 Men det er jo ikke implementeret på nogle telefoner!! (til almindelige forbrugere)


iPhone har en kryptografisk co-processor, samt to indbyggede hardware AES-nøgler (som er stort set umuligt at få fat på. Ingen har i hvert fald offentliggjort en succesfuld demonstration endnu).

Det er dog først siden iPhone 3GS og iOS3 3.X at brugerens data har været krypteret (systemdata er ikke krypteret). Til dette bruges en nøgle og FDE.

Siden da har Apple forbedret sikkerheden på flere områder. Udover sikrere systemer, så har de bl.a. skiftet til andre krypteringsmetoder, bl.a. forskellige krypteringsnøgler per fil, samt hash-iterationer for at gøre brute-force langsommere.

Ville ønske Android havde lige så god sikkerhed :(
Gravatar #23 - HenrikH
23. apr. 2014 10:42
Lares (19) skrev:
#18 - Sådan som jeg fedter rundt med fingrene på min mobils touchskærm, så er der sgu ikke nogen, der kan se, hvad der er mønster, pin eller bare bare almindelig brug.

Hvis baren er at man kan trække et fingeraftryk af og lave en kunstig finger af trælim, så kan analyse af området med mønster sandsynligvis stadig give dem et ret godt praj med samme teknologiniveau.
Gravatar #24 - testbruger42
23. apr. 2014 11:54
#16. Aghr :). Der skulle stå 10% af gangene virker det IKKE :). Sorry for the mess up.
Gravatar #25 - markjensen
23. apr. 2014 12:05
Ja okay, det giver mere mening :). Det lyder dog stadig ret højt. Har du prøvet at genindscanne dem? (hvilket man måske i det hele taget bør gøre efter opdateringen i går)
Gravatar #26 - Zombie Steve Jobs
23. apr. 2014 22:56
Athinira (22) skrev:
iPhone har en kryptografisk co-processor, samt to indbyggede hardware AES-nøgler (som er stort set umuligt at få fat på. Ingen har i hvert fald offentliggjort en succesfuld demonstration endnu).

Ville ønske Android havde lige så god sikkerhed :(


Eller? http://arstechnica.com/security/2014/04/iphones-an...
Gravatar #27 - Athinira
24. apr. 2014 05:59
Zombie Steve Jobs (26) skrev:
Eller? http://arstechnica.com/security/2014/04/iphones-an...


Kan ikke se hvordan de to ting har noget med hinanden at gøre. Så iOS havde en sikkerhedsbug angående HTTPS der blev fikset? Hvad præcist har det med beskyttelse af brugerdata at gøre (samt det oprindelige indlæg jeg besvarede angående krypto-CPU'er)? :o)

Når jeg snakker 'sikkerhed' her mener jeg naturligvis sikring af brugerens data. Android understøtter ganske rigtigt kryptering af brugerpartitionen, MEN:

[li]Det er ikke slået til som standard[/li][li]Der er tale om Software-kryptering som er meget lettere at bryde (f.eks. via. et memory-hack)[/li][li]Det benytter CPU'en til kryptering og dekryptering og sløver derved enheden. Jeg har ikke prøvet det på de nyeste telefoner, men på hardware der bare er et par år gammelt (f.eks. Nexus 7 og Galaxy S3) bliver enheden sløvet mærkbart.[/li]
[li]Tredje-parts recovery-systemer (til rootede enheder) har ofte problemer med at wipe en krypteret brugerpartition.[/li]

Det burde blive fikset, men det er op til både Google og de forskellige producenterne om det sker. Google skal lave kodeunderstøtelsen, og producentene skal indbygge krypto-hardwaren.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login