El Chaos Computer Club hackea el lector de iris del Galaxy S8 con una impresora láser y algo de maña

Alejo I
El Chaos Computer Club es la mayor asociación de hackers de Europa y posiblemente uno de los grupos más representativos y de mayor importancia histórica de esta comunidad. Comprometida desde sus inicios con la privacidad y las libertades personales en la era de la información, sus miembros han protagonizado algunas acciones tan sonadas como la obtención y publicación en 2008 de las huellas digitales del por entonces Ministro de Interior alemán Wolfgang Schäuble. Cuando no están involucrados en la denuncia pública de nuevas formas de spyware gubernamental o participando en campañas, el CCC trabaja habitualmente en el descubrimiento de vulnerabilidades en todo tipo de tecnologías. La última en ser quebrantada ha sido el lector de iris del Galaxy S8.

Según han publicado hackers del CCC en Alemania, todo lo que hace falta para saltarse el proceso de identificación por iris del nuevo buque insignia de Samsung es una cámara digital, una impresora láser y unas lentillas. El procedimiento no es particularmente sencillo, pero tampoco resulta muy complejo y arroja dudas sobre las afirmaciones de que el lector de iris incorporado en el teléfono puede proteger el dispositivo frente al acceso no autorizado por parte de terceras personas.


El hack requiere tomar una fotografía de los ojos del propietario del teléfono con una cámara digital para después imprimirla en alta calidad y colocar unas lentes de contacto sobre los iris simulando la curvatura de la córnea. Una vez con el teléfono en poder del atacante, este puede desbloquearlo sin mayores dificultades. Según el portavoz del CCC Dirk Engling, "si valoras los datos de tu teléfono, y posiblemente quieras usarlo para realizar pagos, usar la protección por PIN tradicional es más seguro que utilizar características corporales como medio de identificación".

Hace varios años el CCC también logró hackear el lector de huellas dactilares Touch ID integrado en los dispositivos de Apple. Sin embargo, la organización cree que la identificación mediante el iris es menos segura, puesto que la gente camina abiertamente por la calle con sus ojos al descubierto. "Bajo ciertas circunstancias, una foto en alta resolución de Internet es suficiente para capturar un iris", afirma Engling. Un selfie, una foto de prensa tomada en un evento o una captura fugaz en la calle (usar una cámara con el filtro de infrarrojos eliminado supone una ayuda) pueden bastar.

Si bien la mayoría de los usuarios no tienen mucho de qué temer (un ladrón de móviles difícilmente querrá tomarse tantas molestias), entidades gubernamentales y grandes empresas que utilizan teléfonos con identificación biométrica para salvaguardar la integridad de sus datos y comunicaciones deberían tener en cuenta los hallazgos del CCC. La "seguridad hermética" que promete Samsung no existe, y menos aún si utiliza factores biométricos fácilmente replicables.

Por el momento ni Samsung ni Princeton Identity (proveedora del lector de iris) han realizado comentarios al respecto.
Fuente: ArsTechnica