Alman araştırmacılar, Samsung’un “Hataya yer vermeyen güvenlik” olarak tanımladığı iris tarama özelliğini alt etmeyi başardı. İris tarayıcı özelliğinin mobil ödemelerde kullanılacak kadar güvenli olduğu iddia ediliyordu. Alman araştırmacılar, bir dijital kamera, bir yazıcı ve bir kontakt lens kullanarak Galaxy S8’in iris tarama özelliğini hacklemeyi başardı. Daha önce bir fotoğraf ile Galaxy S8’in yüz tanıma özelliğinin de kandırılabildiği görülmüştü.

Kızılötesi fotoğrafla sistem kandırılıyor

Chaos Computer Club’un (CCC) yayınladığı video, iris tarama özelliğinin nasıl atlatılabileceğini açıkça gösterdi. Bunun için cihaz sahibinin yüzünün kızılötesi fotoğrafını çekip fotoğraftan göz kısmını kesmek, bu kısmın çıktısını almak ve ardından gözün eğriliğini benzetmek için basılan fotoğrafın üzerine kontakt lens yerleştirmek gerekiyor. Telefon sahte görüntüyü gerçek sahibi sanıp kandırılıyor ve hackera kilidi açıyor. CCC’nin açıklamalarına göre, kullanıcıların irislerini yeterince ayrıntılı yakalamak için beş metrelik bir mesafe ve 200 mm objektifli bir dijital fotoğraf makinesi yeterli oluyor.

Akıllı telefonlarda güvenlik sağlamak için kullanılan biyometrik tanımlamalardan biri de iris tanıma özelliği. Parmak izlerinin benzersizliği son yıllarda sorgulanmaya başlanmışken, irislerin çok daha kompleks ve tamamen kişiye özgü desenlere sahip olması sebebiyle teorik olarak iris tarayıcıların parmak izi tarayıcılardan çok daha güvenli olduğu yetkili kişiler tarafından onaylanmıştı.

İris tanıma özelliği Samsung Pay’e dahil edilecekti

Samsung, iris tanıma özelliğini “Samsung Pay” mobil ödeme sistemine de entegre etmeyi planlıyordu. Özelliğin hackerlar tarafından kolayca atlatılabilmesi, bu tip bir entegrasyonun, saldırganların sadece telefona değil aynı zamanda kullanıcıların cüzdanına da erişmesine neden olabileceği anlamına geliyor.

Sergilenen biyometrik özellikler çok daha açık olduğundan, iris tanımadaki riskin parmak izi tanımadakinden çok daha fazla olduğunu söyleyen CCC sözcüsü Dirk Engling, en basit şekilde, internetten bulunabilecek yüksek çözünürlüklü bir fotoğrafın irisin görüntüsünü yakalamak için yeterli olduğunu belirtti. Engling, telefonlarındaki verileri sevenlerin ya da telefonlarıyla ödeme yapmayı düşünenlerin biyometrik özellikleri yerine kanıtlanmış PIN kodu koruması kullanmalarının daha iyi olacağını vurguladı.

 

Üreticiler biyometrik kilit açma teknolojisine fazlasıyla güveniyor

Apple’ın iPhone 5S’le birlikte Touch ID özelliğini piyasaya sunmasından bu yana, hackerlar hemen hemen tüm üst seviye akıllı telefonlarda parmak izi tanıma özelliğini alt etmeyi büyük bir eğlence haline dönüştürdüler. Galaxy S8, telefonun kilidini açmak için iris tanıma özelliği bulunan ilk telefon. Apple da dahil olmak üzere diğer üreticilerin de kısa süre içerisinde biyometrik kilit açma özelliği sunmaları bekleniyor.

Global antivirüs yazılım şirketi Bitdefender’in güvenlik uzmanları, böyle bir sorunla karşılaşmamak adına Samsung Galaxy S8 ve Samsung Galaxy S8 Plus mobil cihaz kullanıcılarının yüz tanıma ve iris tarama özelliklerini klasik PIN ile desteklemelerinin daha iyi olacağını vurguluyor. Kararlı hackerların kullanıcıların şifrelerini kırabildikleri ve parmak izi tarayıcılarını atlatabildikleri de biliniyor ancak yine de cihazın güvenliğini sadece biyometrik tanımlamayla sağlamamak gerekiyor. Bitdefender uzmanları, kullanıcıların şifre veya biyometrik koruma kullanırken dikkatli olmalarını, her ne olursa olsun hassas bilgilerini telefonlarında saklamaktan kaçınmalarını ve bilinen, ödüllü bir mobil güvenlik çözümü kullanmalarını öneriyor.