Chaos Computer Club (CCC), organizzazione hacker tedesca fondata nel 1981 che conta migliaia di iscritti, ne ha combinata un’altra delle sue.
Il gruppo si è storicamente concentrato sulla verifica dell’effettivo livello di sicurezza offerto dai sistemi di autenticazione di tipo biometrico.
E questa volta ha “preso di mira” lo scanner dell’iride incluso nei nuovi Samsung Galaxy S8. Il sistema, che può essere usato sia per sbloccare lo smartphone che per autorizzare pagamenti, viene presentato dalla società sudcoreana come uno dei meccanismi più sicuri al mondo per proteggere il dispositivo mobile.
Dal momento che la struttura dell’iride è “unica” e legata al singolo individuo (come l’impronta digitale), alcuni membri del CCC hanno mostrato come sia possibile trarre in inganno lo scanner del Galaxy S8 mostrandogli la foto dell’iride della “vittima”, ovvero del legittimo proprietario del telefono.
Secondo gli esperti di CCC, vi sono diversi modi per ottenere l’iride di una persona senza l’autorizzazione del diretto interessato. Si possono ad esempio sfruttare foto ad alta risoluzione pubblicate sui social network oppure scattare foto del volto della persona assicurandosi di aver attivato il filtro infrarosso (o “modalità notte”).
I ricercatore del CCC hanno dimostrato che una fotocamera dotata di una lente da 200 mm può scattare una foto – a una distanza massima di cinque metri – che può essere utilizzata per ingannare lo scanner del Galaxy S8.
Inviando a una stampante laser l’area della foto raffigurante l’occhio della “vittima”, appoggiando sulla superficie del foglio una lente a contatto e mostrando quanto ottenuto al sensore del Galaxy S8, lo smartphone verrà immediatamente sbloccato.
A fine 2014, CCC aveva utilizzato una procedura molto simile per indurre in errore il sensore Touch ID di Apple: Foto delle impronte digitali per sbloccare Touch ID.