Пользователи платежной системы PayPal оказались под угрозой.
Специалистам компании SRLabs удалось взломать сканер отпечатков пальцев флагманского смартфона Samsung Galaxy S5. Под угрозой оказались данные пользователей платежной системы PayPal.
Пыленепроницаемый и влагозащищенный флагман компании Samsung Galaxy S5, оснащенный сканером отпечатков пальцев, совсем недавно был представлен на выставке мобильной индустрии в Барселоне. В продажу смартфон поступил всего несколько дней назад — 11 апреля. Однако у него уже обнаружился ряд недостатков, главный из них — слабая степень безопасности сканера отпечатков пальцев.
Специалисты SRLabs смогли обойти защиту и взломать дактилоскопический сканер отпечатков пальцев нового смартфона, они также записали видео о том, каким образом это можно сделать. Метод для взлома Galaxy S5 идентичен тому, который продемонстрировали немецкие эксперты из ассоциации Chaos Computer Club (CCC) несколько месяцев назад, но только на iPhone 5S. Для этого им понадобилось сфотографировать отпечаток пальца в разрешении 2400 DPI, затем подправить на компьютере и распечатать на прозрачной пленке на лазерном принтере. Как известно, с его помощью можно разблокировать телефон и оплачивать покупки в App Store и iTunes.
Несмотря на довольно похожую систему взлома, ситуация в случае Samsung Galaxy S5 гораздо серьезнее. Дело в том, что сканер отпечатков пальцев в Galaxy S5 используется не только для разблокировки смартфона. Недавно компания PayPal объявила, что вводит систему подтверждения покупок с помощью отпечатков пальцев на Samsung Galaxy S5. Это означает, что теперь его владельцам не придется вводить логин и пароль для оплаты покупок — достаточно будет просто провести пальцем по экрану. С помощью отпечатков пользователи могут проходить авторизацию в PayPal, совершать покупки и переводить деньги родственникам и друзьям.
Представители PayPal, тем не менее, уверены в надежности нового способа авторизации, даже несмотря на обнаружение SRLabs. По их словам, аутентификация с помощью отпечатков пальцев — более простой и безопасный способ. Сканирование открывает криптографический ключ, который служит в качестве замены пароля для телефона. В случае потери или кражи устройства, этот ключ можно просто выключить и создать новый.
К слову, в связи с тем, что сенсор на iPhone тоже можно обмануть, компания Apple предлагает дополнительный способ защиты. Если iPhone был перезапущен, пользователю требуется ввести код доступа, а это значительно усложняет задачу для тех, кто хочет похитить персональные данные.
Эксперт Product-test Евгений Вильдяев отметил, что уязвимость сканера отпечатков пальцев - неприятная неожиданность для пользователей: "Несмотря на небольшую вероятность взлома, я бы пока порекомендовал не использовать авторизацию по отпечатку пальцев". Кроме того, он отметил, что реакция PayPal на проблему удивительна: вместо того, чтобы заверить пользователей, что уязвимость будет закрыта, они утверждают, что серьезной проблемы в этом нет.