Banki alkalmazások vonták vissza egyelőre ujjlenyomat támogatásukat a Samsung Galaxy S10 ujjlenyomat olvasási bugja miatt

Titkosítás, biztonság, privát szféra

Egy brit pár nemrég ujjlenyomat olvasási problémát vett észre a Samsung Galaxy S10 telefonjukkal kapcsolatban. A nő egy, az eBay-en vásárolt olcsó, szilikon kijelzővédőt applikált a készülékére, majd regisztráltatta az ujjlenyomatait a telefonjában. Ezután észrevette, hogy olyan ujjai ujjlenyomatával is fel tudja oldani készülékét, amelyet sosem regisztráltatott rajta. A férje is kipróbálta, az ő ujjaival is sikerült a telefont feloldani. A dolognak híre ment és eljutott a bankokhoz is, amelyek közül több, banki alkalmazásában egyelőre visszavonta a Samsung Galaxy S10 és a Galaxy Note 10 ujjlenyomat olvasóinak támogatását. A Samsung is reagált. Előbb azt közölte, hogy csak általa hivatalosan engedélyezett kijelzővédőket használjanak a felhasználók, majd később egy közleményt adott ki, amelyben jelezte, hogy dolgozik a patchen, amelyet hamarosan ki fog adni az érintett készülékek számára.

Egyesek szerint a helyzet sokkal rosszabb, gyakorlatilag egy darab hőre lágyuló poliuretán (Thermoplastic Polyurethane - TPU) darabka segítségével fel lehet oldani az érintett készülékeket olyan ujjlenyomattal, amit sosem regisztráltak a készülékeken, még akkor is, ha kijelzővédő nélkül regisztrálták rajta eredetileg az érvényes ujjlenyomatokat.

Részletek itt.

( zolee1988 v | 2019. 10. 23., sze – 10:30 )

Rosszul fogod?
--
Én TUDOM, hogy igazam van. És ha nincs is, akkor is NEKEM van igazam, mert én vagyok az Admin. Ennyi!

( wheelmaster | 2019. 10. 23., sze – 14:26 )

Ez, plusz a fotóval átverhető 2d arcfelismerés. Kiváló munka...
--
ne terelj

( Dolphy | 2019. 10. 24., cs – 07:46 )

Fasznak nem jo a hatlapon az ujjlenyomat olvaso.

Erősen kétlen, hogy az elhelyezkedése lenne a gond, sokkal inkább a minősége :-)

(De rémlik, hogy itt is volt flame abból, hogy az elől, vagy a hátul levő a jobb. Szerintem az elől levőhöz kényelmesebb a hüvelykujj, a hátullevőhöz meg a mutató - még akkor is, ha lehet más ujjal is használni.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

> valamiért különcködni.

Az optikai érezhetően lassú, ha az ujjad vizes vagy poros nem működik, a kijelző fényerejét fel kell miatta tolni sötétben nagyon kellemetlen tud lenni.

Nem különcködés, hanem a meglévő technológia hibáinak és hiányosságainak orvoslása. Még akkor is, ha nem sikerült túl jól :)

( jantyik | 2019. 10. 24., cs – 09:34 )

Nem akarok hülyeséget mondani, de day1 óta s10 user vagyok. Ez az ujjlenyomat olvasó dolog állandó szívfájdalmam. Kezdetben alig működött. Jött javítás, 2 vagy 3. Jobb lett, de nem hibátlan. Azóta is azért gyakran nem minden esetben működik elsőre és/vagy gyorsan. És a gyári kijelző fólia van még rajta... Sokáig gondolkodtam azon, hogy velem van a probléma, de lassan inkább úgy érzem, hogy nem biztos, hogy csak velem.

(p10plus hagyományos olvasója mindig baromi gyors...)

A50-en sem mindig működik. Szintén jött software update, ami után újra kellett tanítani, azaz próbálkoznak jobbá tenni, de nem igazán meggyőző.

Mondjuk most ahogy utánaolvastam, nem pont ugyanaz a technológia, mint az S10-nél (in-display optical vs ultrasonic), de legalább annyi közös, hogy lassú és idegesítő :)

( blalo | 2019. 10. 24., cs – 09:42 )

Az volt a "javítás", hogy ha nem ismer fel egy ujjlenyomatot, akkor elfogad bármit, növelve az átlagfelhasználó elégedettségét. Csak arra nem számítottak, hogy a felhasználók hamar rájönnek a turpisságra. Hamarabb, mint az "igazi" hibajavítás elkészülne.

( Hevi v | 2019. 10. 24., cs – 20:03 )

Aszt amugy tuttatok, hogy szara FaceID!!!444111??

A huje Apple, az rontotta el!

Ezt most nem értem.

És?

Eddig is tudtuk, hogy szar a face unlock. Illetve nem szar, csak kényelmi feature és nem biztonsági.

Ha egy képet hasonlítunk össze egy képpel, akkor igen, másról készült fényképpel, alvó ember arca elé tartva, az ikertestvérével meg ki tudja még, mi minden mással is működik.

A Nexus7 tabletnél 2012-ben már sikerült leprogramozni azt, hogy amikor a face unlock megtalálta az arcomat, akkor megkért rá, hogy csináljak valamit. Már nem emlékszem, hogy kacsintani vagy mosolyogni kellett.

Azóta eltelt 7 év, és bizonyára a marketingesek elemezték a visszajelzéseket, és a felhasználók panaszkodtak, hogy soká tart, meg nem értem minek kell flörtölni a telefonommal, meg ez meg az, és kiadták a programozóknak, hogy egyszerűsítsék az eljárást, hagyják ki a challenge-response részt.

Hiszen a biztonság a vásárlók számára úgyse szempont.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A Nexus7 tabletnél 2012-ben már sikerült leprogramozni azt, hogy amikor a face unlock megtalálta az arcomat, akkor megkért rá, hogy csináljak valamit. Már nem emlékszem, hogy kacsintani vagy mosolyogni kellett.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Csakhogy az egy a kamera képét vizsgáló toy megoldás volt, nem volt ajánlott security érzékenyeknek. Főleg mert azt is be lehetett csapni egy sima videófelvétellel.

Ezzel szemben ez a cucc saját hardvert használna a pontos és megbízható arcfelismerésre, amire egy kamera feed nem tudna elég lenni. Ezt nem sikerült meglépni :) A két dolgot meg olyan kár összehasonlítani.

Nem videófelvételről van szó a fenti cikkben, hanem alvó emberekről.

És nem, a security érzékenyeknek valóban nem való se a Nexus 7 megoldása, se a Pixel 4 megoldása. Se az apple megoldása. De nem is erről volt szó, hanem az Pixel 4 vs. alvó emberekről.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ne haragudj, úgy csapongsz a témák között, hogy nehéz követni.

Hogy jönnek ide a bankok?

https://www.youtube.com/watch?v=WbR3ut5yKbU - ezt a megoldást te ajánlanád security érzékenyeknek ezek szerint?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem. Én nem állítottam, hogy bármelyik ezek közül jó lenne.

Az volt az állítás, hogy a Google nem képes az androidba beleprogramozni azt, hogy alvó ember arca elé tartva ne oldjon fel a telefon.

Erre azt válaszoltam, hogy de, már megoldották, csak úgy látszik, azóta kivették ezt az ellenőrzést.

Az összes többi, az S10 ujjlenyomatolvasójától az iphone faceID-ján keresztül az Android face unlock összes többi átverési módjáig mind csak irreleváns zaj.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( jantyik | 2019. 10. 25., p – 03:08 )

Most jött "hotfix" az enyémre. Jelentsen bármit.

Nos, eltelt pár nap, egyelőre az otp úgy gondolja, még nem engedi az appját, csak pinnel oldani. Kíváncsi leszek, mikor teszik vissza.

(Hogy mi a probléma? Nem tudja csekkolni az update és az új ujjlenyomat meglétét.)

 

Szerk.: eltelt még 1 hét, továbbra sem megy az otp app-val.

( gee v | 2019. 10. 25., p – 10:03 )

Kíváncsi lennék, hogy mi a probléma valóban.

Van valahol valamilyen technikai elemzés?

Rengeteg clickbait bulvár cikk jelent meg ugyanarról, de egy minimális, tény jellegű tech részlet sem található sehol. Sejtem, hogy soha nem is lesz. Gondolom ez az "eltitkolom hogyan működik, nem jössz rá, hogy mi a hibája" elv jellemző marad ezen megoldások körül.

 

Na, kicsit kifejtem, én mire gondolok, de lehet, hogy tökre tévút és full téves benne minden. Legyen amolyan fiction és guesswork, és amúgy off is így:

Szerintem az ultrahang terjedés/nem terjedés/visszaverődés a fő fizikai probléma. Pontosabban arra gondolok, hogy ott verődik vissza/nyelődik el az ultrahang, ahol nagymértékű, éles eltérés van 2 határ-anyag "sűrűsége" között. Erről mindig a terhes anyák vizsgálata jut eszembe, hogy bekenik egyfajta köztes réteget képező zselével a vizsgálandó területet (ne legyen légrés). Tévedés előfordulhat itt az ok-okozat között, de most ezen haladok tovább. (krémes/zsíros ujjal nem megy a feloldás, legalábbis nekem nem megy, egyébként) 

 

No, elvileg, a Samsung szerint lehet légréteg a fólia és az üveg között. Ezt elfogadom, soknak gagyi a ragasztóanyaga. Tehát itt ennek, fentiekből következtetve, lehet esetleg egyfajta mintázata (légrés vs ragasztó megtapadás). Továbbgondolva, fólia felrakása után nem biztos, hogy megy a régi ujjlenyomattal nyitás, tehát csinálok újat, ami már zajos lesz a fentiek alapján. Gondolatmenetet szerint itt ez már problémás helyzet. Idézhet ilyet elő a már elhasznált karcos fólia, esetleg kijelző? Pasz, talán igen.

 

Feltételezem a szükséges ujjlenyomatolvasó képességeit: (mire gondolnék én, mint laikus, milyen problémákra kellene gondolnom, ha én akarnék ilyet csinálni, tehát nem akarom a Samsungra húzni ezt a feltételezett működési elvemet, nem értek hozzá) 

 

Sejtem, hogy a kibocsájtott ultrahang erősségét tudni kellene valtoztatni, esetleg még a frekvenciát is. Majd a belső firmware próbálna mintát illeszteni. Esetleg az olvasott minta kapna egy "egyezőségi" valószínűségi számot, vagy valamilyen osztályzást. Esetleg maga a device dönti el, hogy melyik még oké és melyik már nem, így az android felé egy ok vagy nemok jel menne csak. (android romban semmi látható erről nem lesz) Esetleg az is lehet, hogy egymás után sorban több frekvencián is tudna olvasni, majd összerakni ezekből a megoldást. Vélhetőleg kevés számítási kapacitás állna rendelkezésre, idő pedig szintén véges, illetve a beolvasott minta sem ugye a teljes ujj, hanem annak vékony kis szelete. (kicsi az eszköz, napon belelátni a telefonba, úgymond, ezért így gondolom)

 

Innen én most úgy gondolom, már nem áll messze az a helyzet, hogy elképzelhető, hogy sosem lesz tökéletes a készülékem. Kicsi minta, zajos minta, kevés idő, usernek megfelelési kényszer (gyors, általában sikeresen oldó működés) miatt. Esetleg tudnék játszani a frekvenciák/erősségekkel, vagy az olvasások számával (feloldási idő nőne ettől), végül pedig az egyezés valószínűségi számára vinném lejjebb a kritériumot, hiszen más paramétert az értékesítés után nem tudok már módosítani.

 

Nyilván ez a gondolatsor kb mindenkiben megfogalmazódhatott a hír kapcsán. Esetleg másvalaki gondolt még egyéb tényezőre, megoldásra,  problémára a témában? Mire nem gondolhattam, mit hagytam ki? Tényleg kíváncsi vagyok.