La característica de reconocimiento de iris en el nuevo smartphone Samsung Galaxy S8 ha sido derrotada por los hackers alemanes, menos de un mes después de que llegara a los estantes de todo el mundo.
Un video publicado por el Chaos Computer Club, un colectivo de hackers de larga trayectoria formado en Berlín en 1981, muestra la seguridad de ser engañado por un ojo ficticio al pensar que está siendo desbloqueado por un propietario legítimo.
El ojo artificial – que se hace usando apenas una impresora y una lente de contacto para emparejar la curvatura del ojo – se puede crear usando las imágenes del ojo del dueño tomadas de medios sociales, aunque para los iris falsos de la más alta calidad, las fotografías tomadas en modo nocturno funciona mejor.
“El riesgo de seguridad para el usuario por el reconocimiento del iris es aún mayor que con las huellas dactilares, ya que exponemos mucho a nuestros iris”, dijo el portavoz del grupo, Dirk Engling. “Si usted valora los datos en su teléfono – y posiblemente incluso quiere usarlo para el pago – usar la tradicional protección de códigos es un enfoque más seguro que usar las características del cuerpo para la autenticación”.
El Galaxy S8 también viene con una función de reconocimiento facial, que fue hackeado antes de que el teléfono estuviese a la venta: se puede engañar con algo tan simple como una imagen impresa del propietario. El desafortunado Samsung Galaxy Note 7 también tenía el mismo escáner de iris infrarrojo que el Galaxy S8.
Este hack es muy simple, y podría ser sacado con sólo una foto tomada de Facebook, una impresora láser convencional y una lente de contacto. “De lejos, la parte más cara del hack de biometría del iris fue la compra del Samsung Galaxy S8”, dijeron los hackers. “Irónicamente, obtuvimos los mejores resultados con impresoras láser hechas por Samsung”.
La revelación agregará más combustible al debate sobre el uso de características biométricas como pases de seguridad. Si bien la biometría puede ser más cómoda y más difícil de robar o falsificar que las contraseñas, estos vienen con un gran compromiso: los usuarios no pueden cambiarlos.
Con información de The Guardian
