Первые сообщения о «взломе» биометрических систем защиты флагманских смартфонов компании Samsung (Galaxy S8 и S8+) фактически в день их презентации, в конце марта 2017 года. Напомню, что тогда испанский испанский обозреватель MarcianoTech вел прямую Periscope-трансляцию с мероприятия Samsung и обманул систему распознавания лиц в прямом эфире. Он сделал селфи на собственный телефон и продемонстрировал полученное фото Galaxy S8. Как это ни странно, этот простейший трюк сработал, и смартфон был разблокирован.
Однако флагманы Samsung комплектуются сразу несколькими биометрическими системами: сканером отпечатков пальцев, системой распознавания радужной оболочки глаза и системой распознавания лиц. Казалось бы, сканеры отпечатков и радужной оболочки должны быть надежнее? По всей видимости, нет.
Исследователи Chaos Computer Club (CCC) сообщают , что им удалось обмануть сканер радужной оболочки глаза с помощью обыкновенной фотографии, сделанной со средней дистанции. Так, известный специалист Ян «Starbug» Криссер (Jan Krissler) пишет, что достаточно сфотографировать владельца Galaxy S8 таким образом, чтобы его глаза были видны в кадре. Затем нужно распечатать полученное фото и продемонстрировать его фронтальной камере устройства.
Единственная сложность заключается в том, что современные сканеры радужной оболочки глаза (равно как и системы распознавания лиц) умеют отличать 2D-изображения от реального человеческого глаза или лица в 3D. Но Starbug с легкостью преодолел и эту сложность: он попросту приклеил контактную линзу поверх фотографии глаза, и этого оказалось достаточно.
Для достижения наилучшего результата специалист советует делать фото в режиме ночной съемки, так как это позволит уловить больше деталей, особенно если глаза жертвы темного цвета. Также Крисслер пишет, что распечатывать фотографии лучше на лазерных принтерах компании Samsung (какая ирония).
«Хорошей цифровой камеры с линзой 200 мм будет вполне достаточно, чтобы с расстояния до пяти метров захватить изображение, пригодное для обмана системы распознавания радужной оболочки глаза», - резюмирует Крисслер.
Данная атака может оказаться куда опаснее, чем банальный обман системы распознавания лиц, ведь если последнюю нельзя использовать для подтверждения платежей в Samsung Pay, то радужную оболочку глаза для этого использовать как раз можно. Найти качественную фотографию жертвы в наши дни явно не составит труда, и в итоге атакующий сможет не просто разблокировать устройство и получить доступ к информации пользователя, но и похитить средства из чужого кошелька Samsung Pay.
Специалисты Chaos Computer Club предупреждают пользователей, что не стоит доверять биометрическим системам защиты сверх меры и рекомендуют применять старые добрые PIN-коды и графические пароли.
Видеоролик ниже пошагово иллюстрирует все этапы создания фальшивого «глаза» и демонстрирует последующий обман Samsung Galaxy S8.
Представители компании Samsung прокомментировали ситуацию:
"Компании известно об этом сообщении. Samsung заверяет пользователей, что технология распознавания радужной оболочки глаза в Galaxy S8 была разработана и внедрена после тщательного тестирования, чтобы обеспечить высокий уровень точности сканирования и предотвратить попытки несанкционированного доступа.
Описываемый в упомянутом материале способ может быть реализован только с использованием сложной техники и совпадении ряда обстоятельств. Нужна фотография сетчатки высокого разрешения, сделанная на ИК-камеру, контактные линзы и сам смартфон. В ходе внутреннего расследования было установлено, что добиться результата при использовании такого метода невероятно сложно.
Тем не менее, даже при наличии потенциальной уязвимости, специалисты компании приложат все усилия, чтобы в кратчайшие сроки обеспечить безопасность конфиденциальных и личных данных пользователей".
Возможно, вы видели такое в фильмах про спецагентов: человек подходит к закрытой двери какой-нибудь секретной лаборатории, нажимает кнопочку, его глаз сканируется каким-то лучом, дверь открывается, и он попадает внутрь. Подобные технологии существуют уже сейчас, они начинают применяться в мобильных устройствах и в будущем получат широкое распространение.
Сканер радужной оболочки глаза уже используется в смартфонах Microsoft Lumia 950 и Lumia 950 XL. Он также будет у смартфона Galaxy Note 7, анонс которого состоится в начале августа.
Как работает этот сканер, для чего он нужен и нужен ли вообще?
Радужная оболочка глаза предопределяет цвет глаз человека. Если рассмотреть глазное яблоко вблизи, на его поверхности можно заметить линии, формирующие определённый рисунок. Этот рисунок уникален у любого человека и разный для каждого глаза (у правого он один, у левого совершенно другой). Он очень сложный и со временем практически не меняется - точно так же, как отпечатки пальцев. Сканер радужной оболочки предназначен для считывания этого рисунка и сопоставления его с ранее сохранёнными рисунками.
Для сканирования рисунка радужной оболочки глаза применяется излучение, близкое к инфракрасному. Оно, во-первых, позволяет сканеру работать даже в темноте, а во-вторых, считывает рисунок намного точнее, чем излучение видимого спектра света. Очки и контактные линзы не препятствуют прохождению лучей света, поэтому не оказывают отрицательное влияние на качество распознавания. По завершению сканирования рисунок переводится в код, а этот код сравнивается с ранее сохранённой записью. Если коды совпадают, происходит разблокировка устройства.
Биометрический сканер, предназначенный для разблокировки Galaxy Note 7, будет работать сложнее. Судя по имеющемуся у компании Samsung патенту, в нём объединены несколько сенсоров - датчик, считывающий рисунок радужной оболочки глаз, а также камера, распознающая лицо пользователя. Проще говоря, разблокировать Galaxy Note 7 можно будет лишь одним взглядом на фронтальную камеру.
Разблокировка при помощи сканирования лица камерой появилась в Android два года назад и доступна на большинстве смартфонов, но почти не используется из-за большой погрешности распознавания. Кроме того, она не работает в темноте.
Существует ещё одна схожая технология - сканирование сетчатки глаза. Сетчатка расположена внутри глазного яблока и тоже строго индивидуальна у каждого человека. Сканирование сетчатки производится только с близкого расстояния, что неудобно - для разблокировки смартфона пользователю пришлось бы подносить его прямо к глазу.
Сканер радужной оболочки глаза лучше, чем сканер отпечатков пальцев?
Он удобнее. Для сканирования отпечатка пальца вам нужно прикасаться к поверхности смартфона, причём ваши руки должны быть чистыми и сухими. Сканеру радужной оболочки глаза трогать не нужно - он считывает нужные данные с относительно большого расстояния.
Сканеры отпечатков пальцев начали использоваться в смартфонах около десяти лет назад, но стали популярны лишь после появления в айфонах. Сейчас их устанавливают даже в недорогие смартфоны. Сканер радужной оболочки глаза сейчас используются только в Lumia 950 и Lumia 950 XL, но эта технология станет намного более распространённой после выхода Galaxy Note 7. Если пользователи оценят её удобство, она появится на десятках новых моделей смартфонов.
Технология сканирования радужной оболочки глаза была впервые предложена в 1936 году офтальмологом Франком Буршем. Он заявил, что радужная оболочка глаза каждого человека является уникальной. Вероятность ее совпадения составляет примерно 10 в минус 78-ой степени, что значительно выше, чем при дактилоскопии. Согласно теории вероятности, за всю историю человечества еще не было двух людей, у которых бы совпал узор глаза. В начале 90-х Джон Дафман из компании Iridian Technologies запатентовал алгоритм для обнаружения различий радужной оболочки глаза. На данный момент этот способ биометрической аутентификации является одним из наиболее эффективных и производится с помощью специального сенсора - иридосканера.
Радужная оболочка глаза - это тонкая подвижная диафрагма со зрачком в центре, которая расположена за роговицей перед хрусталиком глаза. Она образовывается ещё до рождения человека и не меняется на протяжении всей жизни. По текстуре радужная оболочка напоминает сеть с большим количеством кругов, при этом ее рисунок очень сложен, что позволяет отобрать порядка 200 точек, с помощью которых обеспечивается высокая степень надежности аутентификации.
Сканер радужной оболочки глаза часто ошибочно называют сканером сетчатки. Отличие заключается в том, что сетчатка расположена внутри глаза и просканировать ее оптическим сенсором невозможно, только с помощью инфракрасного излучения. При этом анализируется не сама сетчатка, а узор кровеносных сосудов глазного дна. Называть подобный сенсор иридосканером неправильно, так как iris – это радужка, сетчатка же имеет название retina.
В основе иридосканера современного смартфона лежит высококонтрастная камера, подобная обычной камере. Иногда роль сканера радужной оболочки может выполнять и обычная фронтальная камера. Процесс аутентификации начинается с получения детального изображения глаза человека. Для этой цели используют монохромную камеру с неяркой подсветкой, которая чувствительна к инфракрасному излучению и позволяет работать в условиях недостаточной освещенности. Обычно делается серия из нескольких фотографий, так как зрачок чувствителен к свету и постоянно меняет свой размер. Затем из полученных фотографий выбирается одна наиболее удачная, определяются границы радужки и контрольная область. К каждой точке выбранной области применяют специальные фильтры, чтобы извлечь фазовую информацию и преобразовать рисунок оболочки в цифровой формат. Очки и контактные линзы, даже цветные, не влияют на качество аутентификации.
Внедрение сканера радужной оболочки глаза в смартфоны началось в 2015 году. Первыми его стали устанавливать китайские и японские производители. В частности первопроходцем был ViewSonic V55, так и не поступивший в массовую продажу. Из самых новых устройств, оснащенных иридосканером, можно выделить Samsung Galaxy S8, однако его сканер с легкостью удалось обмануть хакерам, распечатавшим фотографию на принтере и положившим на нее контактную линзу.
Всё чаще в Интернете можно встретить информацию о том, что новый Galaxy Note 7 оснастят сканером радужки глаза. И, например, у нас сомнений в этом нет. В связи с этим интерес к подобного вида сканерам растет. Поэтому мы решили рассказать вам о принципе работы сканера радужки глаза, или, как его еще принято называть, иридосканера.
Когда вас спрашивают о том, какого цвета ваши глаза, речь идет скорее не о цвете всего глаза, а о цвете радужной оболочки.
Радужная оболочка глаза важна, так как именно она играет ключевую роль при формировании цвета глаз. Если присмотреться к радужке, можно заметить, что она имеет некий объемный рисунок из волокон:
Именно этот рисунок сканер радужки глаза и считывает. У всех он уникален — как и в случае с отпечатками пальцев. Процедура считывания рисунка волокон начинается с активации луча из ближнего инфракрасного диапазона, благодаря которому камера с большей точностью определит рисунок, к тому же с помощью такого луча возможна разблокировка девайса при отсутствии какого-либо освещения.
После считывания камерой рисунка он преобразуется в код, который сравнивается с базой кодов, в случае совпадения доступ к устройству будет получен.
Однако каков принцип работы сканера именно в Note 7? Особенностью сканера Note 7 стало наличие дополнительного этапа. Первым делом устройство с помощью обычной фронтальной камеры проведет сканирование помещения на наличие в кадре вашего лица и глаз. Определив их положение, в дело вступит инфракрасный луч и камера, сканирующая радужку глаза.
На планете существуют люди с особенностью в виде гетерохромии, когда два глаза имеют различные цвета. Согласно статистике, менее 1% населения Земли страдают гетерохромией. Наиболее часто встречающимся цветом глаз является коричневый, следом идет зеленый, янтарный и серебристый цвета.
Почему же нельзя проводить сканирование с помощью фронтальной камеры? К сожалению, фронтальная камера недостаточно чувствительна и не способна определить рисунок волокон радужной оболочки глаза. Кроме того, особенностью камеры, сканирующей радужную оболочку, является очень небольшой угол обзора, который помогает сконцентрироваться на конкретной точке.
В чем отличие сканеров радужки глаза от сканеров сетчатки глаза?
Скажем сразу, оба сканера выполняют практически одинаковую работу, однако в первом случае происходит сканирование радужки, во втором — сканируется та часть глаза, которая преобразует свет в визуальную информацию. И, конечно, сканирование сетчатки глаза — более сложный процесс и требует от пользователя большей аккуратности и меньшего расстояния между устройством и глазом.
В связи с этим наибольшую популярность получат именно сканеры радужки глаза. Представьте человека, который периодически будет близко подносить фаблет к лицу — не все поймут и не многие примут.
Зачем нужен сканер радужки глаза?
И действительно, у нас же есть сканеры отпечатков пальцев! Не всё так просто. Сканеры радужки более точны, более безопасны и достаточно дешевы для встраивания в недорогие 200-долларовые смартфоны.
Минус сканеров отпечатков пальцев — возможность подделать отпечатки, ведь ежедневно вы к чему-либо прикасаетесь, на предметах остаются ваши отпечатки, которые с помощью специальных средств злоумышленник может продублировать и в будущем использовать в своих целях, включая разблокировку смартфона. К тому же грязные, мокрые пальцы распознаются сканером отпечатков пальцев с большим трудом.
По материалам phonearena
Радужная оболочка глаза - это тонкая подвижная диафрагма со зрачком в центре, которая расположена за роговицей перед хрусталиком глаза. Она образовывается ещё до рождения человека и не меняется на протяжении всей жизни. По текстуре радужная оболочка напоминает сеть с большим количеством кругов, при этом ее рисунок очень сложен, что позволяет отобрать порядка 200 точек, с помощью которых обеспечивается высокая степень надежности аутентификации.
Сканер радужной оболочки глаза часто ошибочно называют сканером сетчатки. Отличие заключается в том, что сетчатка расположена внутри глаза и просканировать ее оптическим сенсором невозможно, только с помощью инфракрасного излучения. При этом анализируется не сама сетчатка, а узор кровеносных сосудов глазного дна. Называть подобный сенсор иридосканером неправильно, так как iris – это радужка, сетчатка же имеет название retina.
В основе иридосканера современного смартфона лежит высококонтрастная камера, подобная обычной камере. Иногда роль сканера радужной оболочки может выполнять и обычная фронтальная камера. Процесс аутентификации начинается с получения детального изображения глаза человека. Для этой цели используют монохромную камеру с неяркой подсветкой, которая чувствительна к инфракрасному излучению и позволяет работать в условиях недостаточной освещенности. Обычно делается серия из нескольких фотографий, так как зрачок чувствителен к свету и постоянно меняет свой размер. Затем из полученных фотографий выбирается одна наиболее удачная, определяются границы радужки и контрольная область. К каждой точке выбранной области применяют специальные фильтры, чтобы извлечь фазовую информацию и преобразовать рисунок оболочки в цифровой формат. Очки и контактные линзы, даже цветные, не влияют на качество аутентификации.
Внедрение сканера радужной оболочки глаза в смартфоны началось в 2015 году. Первыми его стали устанавливать китайские и японские производители. В частности первопроходцем был V55, так и не поступивший в массовую продажу. Из самых новых устройств, оснащенных иридосканером, можно выделить Samsung Galaxy S8, однако его сканер с легкостью удалось обмануть хакерам, распечатавшим фотографию на принтере и положившим на нее контактную линзу.
