I mars rapporterade vi i Bli säker-podden om den gravt undermåliga ansiktsigenkänningslösningen på Samsung Galaxy S10. Ett simpelt foto var allt som krävdes för att lura mobilen att släppa in en angripare. Årets Galaxy S-flaggskepp är alltså utrustad med en betydligt sämre lösning än fjolårets motsvarighet (Galaxy S9) som inte lät sig luras så lätt. Det är självfallet tråkigt när utvecklingen går åt det hållet. Samsung informerar visserligen användaren om att Galaxy S10:s ansiktsigenkänning inte är lika säker som fingeravtrycksavkänningen, men vi hade gärna sett att de inte byggt in den bristfälliga upplåsningsmetoden överhuvudtaget.
Samsung Galaxy S10 har en fingeravtrycksläsare som kan användas i stället. Den är gömd under skärmen och läser av fingret med ultraljud i stället för på traditionell kapacitivt vis. Nu visar det sig att även den verkar ha säkerhetsproblem. Idag rapporterar Bleeping Computer att Reddit-användaren Darkshark9 lyckats lura fingeravtrycksavläsaren. I en video demonstrerar Darkshark9 hur ett 3D-utskrivet fingeravtryck är allt som krävs (se video och galleri).
Inte alls lika allvarlig säkerhetsbrist
Lyckligtvis är denna säkerhetsbrist inte alls lika allvarlig. Bristerna i ansiktsigenkänningen gjorde att vem som helst kunde låsa upp mobilen. För att lura fingeravtrycksläsaren krävs däremot ett högupplöst foto, kunskap inom 3D-modellering och tillgång till en 3D-skrivare. Det innebär att antalet potentiella angripare reduceras till 3D-entusiaster och organisationer som verkligen vill komma åt innehållet i en specifik mobil.
Av ovanstående anledning kvarstår vår tidigare rekommendation för den breda allmänheten: använd gärna fingeravtrycksläsare. Korta pinkoder och simpla inloggningsmönster har större säkerhetsbrister än fingeravtrycksläsarna. ”Hemliga agenter” bör däremot hålla sig till långa lösenord och aldrig låsa upp mobilen i sällskap av andra. Mer information om biometrisk inloggning finns i Bli säker-boken. Vi diskuterade även frågan i det sjätte avsnittet av Bli säker-podden.
Obs! Det ska tilläggas att Galaxy S10 oavsett vad inte är en, av Nikka Systems, rekommenderad mobilmodell. Samsung inte följer Googles riktlinjer för Android-säkerhetsuppdateringar och är därför inte heller med på Google Enterprise Recommended-listan.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.