Artigo atualizado com a declaração da Samsung relativa a este problema
O recurso a informação biométrica, única entre indivíduos, tem vindo a ser cada vez mais utilizado para elevar não só os níveis de segurança nos dispositivos móveis como também para aumentar a comodidade com que é possível aceder-lhes.
Depois do reconhecimento facial no Galaxy S8 ter sido identificado como vulnerável e pouco seguro, mesmo antes do seu lançamento oficial, eis que o desbloqueio recorrendo à íris pode também ser contornado com alguma facilidade.
A segurança recorrendo aos sensores biométricos continua a ser discutível. Já foram descobertos métodos para enganar os sensores de impressões digitais, pelo mesmo grupo de investigadores, e agora chega a vez do sensor de íris, que se julgava muito mais seguro que qualquer outro.
Utilizando uma câmara fotográfica vulgar, uma impressora e uma lente de contacto, os hackers do CCC (Chaos Computer Club) conseguiram ultrapassar essa segurança em apenas um dia de testes.
Veja como tudo acontece, no vídeo abaixo.
Segundo a própria Samsung, “os padrões presentes na íris são únicos a cada pessoa e são virtualmente impossíveis de replicar, significando que a autenticação por íris é uma das formas mais seguras de manter o smartphone bloqueado e os conteúdos privados”. Infelizmente não parece ser assim e o sistema terá ainda que melhorar a sua eficiência, para que uma simples foto capturada ao longe por um estranho com más intenções, não comprometa a segurança do acesso ao dispositivo.
O risco torna-se assim mais elevado, já que a íris está muito mais exposta que as impressões digitais. Dessa forma, é recomendado manter a tradicional forma de desbloqueio com recurso a PIN ou palavra-passe que, embora não tão práticos, continuam a ser os mais seguros.
Comunicado da Samsung sobre este problema
Estamos cientes do relatório, mas gostaríamos de assegurar aos nossos clientes que a tecnologia de reconhecimento da íris no Samsung Galaxy S8 foi desenvolvida através de testes rigorosos com vista a para proporcionar um alto nível de precisão e a evitar tentativas de pôr em causa o seu nível de segurança, designadamente através de imagens da íris de uma pessoa.
As alegações só poderiam ter sido feitas no contexto de uma rara combinação de circunstâncias. Seria necessário que se desse a situação improvável de se estar na posse de uma fotografia em alta resolução da íris do proprietário do smartphone tirada com uma câmara IR, ter-se o smartphone do proprietário e ainda lentes de contacto, tudo ao mesmo tempo. Realizámos demonstrações internas nas mesmas circunstâncias e foi extremamente difícil replicar o resultado.
No entanto, caso venha existir, em qualquer momento, uma possível vulnerabilidade ou um novo método que desafie os nossos esforços para garantir a segurança do telefone, vamos responder o mais rapidamente possível para resolver a tal questão.