Sikerült átverni a Samsung Galaxy S10 ujjlenyomat-olvasóját 3D nyomtatott ujjlenyomattal

 ( trey | 2019. április 9., kedd - 8:43 )

Az illető leszedte az ujjlenyomatát egy üvegpalackról, Photoshoppal feldolgozta, 3DS Max modellezőszoftverrel 3D-sítette, majd az eredményt 3D nyomtatóval kinyomtatta. A kisebb igazítások mellett, a harmadik nyomtatásra sikerült olyan nyomtatott ujjlenyomatot készítenie, amivel át tudta verni az S10 ultrahangos szkennerét. Részletek, videó itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Evone-t varjak a panaszirodanal. ;)

:D:D:D

:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D

Macen csak ennyi fér ki? :(

igen. :S

Ezert nem hasznalunk biometrikus azonositot jelszokent. Ha kompromittalodik akkor eleg nehez cserelni...

masik ujjra kell valtani 90 naponkent :)

Az a baj, hogy max 20 próbálkozásod lehet, bár az utolsó 10 már elég kényelmetlen.

Viszont például pohárról nem fogják tudni lelopni a nagylábujjadat. Security mindenek felett.

Kisujj is jo lehet. Ivaskor mindig ki kell tartani :)

Vagy penisz lenyomat.

Ehhez vékonyak a mai telók... :D

Széltében kell megfelelni. Ha ilyen esetben szükséges, akkor neked tablet kell, és rózsa helyett zabot viszel anyának. :-)

Hibázó jakuzák kizárva.
________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

így van.
Többfaktoros azonosítási eljárásban viszont remek "felhasználónév", mondjuk egy OTP token mellett.

--
zrubi.hu

+1, az a baj, hogy a koztudaton kivul pl. az igazsagszolgaltatasban is ugy kezelt mint kvazi tevedhetetlen bizonyitek, pedig manapsag mar gyakorlatilag gyerekjatek a hamisitasa.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Épp Doomozok, úgyhogy ez jutott eszembe róla: https://www.youtube.com/watch?v=MucR7ppqyaI&t=65

A korábbi, még nem ultrahangos szenzort is át lehet így verni?

Anno az iPhone ujjlenyomatolvasója kapcsán volt pár részletes videó, nekem úgy rémlik már ott is kb. ez volt a megoldás, nem változott a technológia ilyen értelemben, csak annyi történt, hogy így már kijelző mögé is rakható az érzékelő, nem ettől átverhető.

Jajj, ezt rossz helyre irtam, ide akartam eredetileg.

Kis kiegészítés: az egy kb. 100e és 150e Ft közötti 3D nyomtató, még csak nem is atom drága, és a szoftvere fekete-fehér bitmap-eket eszik meg, nem 3D modellt, ezt gyakorlatilag egy scanner-elt képből "3D-sítés" nélkül is esélyes, hogy el lehet érni, az a kérdés, hogy az ultrahang az egy 2D-s képet képez le magának, vagy valamennyire mélységig tapogat-e (3D-s kell legyen a "műbőr", vagy csak egy 2D-s rajz x tized milliméter vastag ismétlése).

Az a durva ebben, hogy néhány éve ez max filmekben volt lehetséges és ott is eléggé fantázia... Most meg már hétköznapi ember számára is elérhető.

Gyanitom igen. Itt nem az a hir, hogy az ujjlenyomatleolvaso atverheto, meg hogy altalaban az ujjlenyomat egy eleg rossz jelszo, hanem, hogy valaki vegigcsinalta az egeszet elejetol a vegeig. Es hat ha be akarsz jutni a hirekbe muszaj valami aktualisnak lenni benne, gondolom ezert kellett az S10-nek elvereznie. Ettol meg az ujjlenyomat rossz jelszo minden telefonon.

Egy pár éve ez azért már létezik, iPhone-nál kapott nagyobb publicitást, de előtte még a MythBusters is megcsinálta amennyire emlékszem sikeresen, tárgyról levéve, a kémiai verzióját, semmi gép, scannelés, miegymás nélkül. Az ujjlenyomatról elég régóta tudni, hogy semmire nem elég önmagában, az iPhone-nál vérdíj volt rá kiírva, kb. 5 perccel a kereskedelme indulása után el is vitték, de a díj előre ott volt, mert lehetett tudni a technológia gyengepontjait.

Nem tul eletszeru abuzalas, valljuk be :)

Hány milliárdos van szerinted a bolygón, akinek nem szóltak még arról, hogy az ujja nem a legjobb kulcs? Ne a céges policy / admin által nagy eséllyel tájékoztatott középvezetőre gondolj, hanem a kkv szektoros milliomosokra, akiknek azért ott van a telefonjukban egy-két dolog.

Ha csak ott van meg, akkor nincs meg. És meglepően sok információ csak a részletekkel együtt értékes. Pl.: a vállalkozó Excel táblája neki és még 1-2 versenytársának érdekes, de pl. átlag telefon tolvaj Jóskának szinte semmit nem ér.
--
https://naszta.hu

Nem az átlag telefontolvajról van szó, az nagyívbe az adatokra, itt kisméretben ipari kémkedésről, szemétkedésről van szó, ami így elérhetővé vált. Ismerek több olyan témakört is, ahol pont mercivel járó, gucci öltönyös emberkék rohangálnak, rühellik egymást, mert sok konkurensükkel vagy kibabráltak alattomos módon, vagy együtt indultak, egy cégben, és összekaptak, ott simán megjátsszák ezt, főleg ha van egy ügyes ismerősük (pl. szervizes).

Alapesetben fizikailag hozza kell ferni a telefonhoz, szerintem sokkal egyszerubb modon is hozza lehet ferni egy hasonlo kategorias ember "titkaihoz".

Nem feltétlen, sok esetben "titkolózásként" csak a telefonon vannak meg a cég bizonyos számai, nyilvántartási rendszerekből havonta törölnek majdnem minden adatot, van egy rakás telefonszám, ami csak a főnöknek van meg, amit nem sync-el a cloud-ba, mert arról már szóltak neki, hogy hát az "feltörhető", ha "marcsa123" a jelszava, esetleg a gyerekeinek neve egymás után beírva.

Ennel az eshetosegnel viszont meg igy is nagyobb biztonsagot ad az ujjlenyomat.
Maskent: a gagyi huawei telefonom 5 hibas probalkozas utan koszoni es keri a factory resetet. Ha ez mas keszuleken is elerheto, nem csak az EMUI sajatja, akkor kb. elegendo vedelem az esetek 90%-aban. Nalam jelszo||TFA+ujjlenyomat ved mindent, amit lehet/erdemes, szerintem ez tobb, mint eleg.

Mégis mivel nehezebb a samsungos f0s ujjlenyomat-olvasót átverni, mint az Apple f0stos ujjlenyomat-olvasóját?

A Galaxy S10-ben ultrahangos szenzor van, aminek pont az a lényege, hogy 3Ds "képet" készít az ujjadról. Gondolom ennél jobban nem kell megmagyarázni, hogy azt miért nehezebb átverni.
Amúgy újabban az iPhone-ba nem is raknak ujjlenyomat olvasót.

"Gondolom ennél jobban nem kell megmagyarázni"

Nem emlekszem, hogy barmikor is atvertek volna az iOS-est. De ha megis, akkor se ennyire konnyen.

Mármint szerinted, és persze tévedsz. Azt már réges-rég megcsinálták. Semmivel se nehezebb, miért lenne? Ugyanez a módszer azon is ugyanígy működik.
https://blog.lookout.com/why-i-hacked-apples-touchid-and-still-think-it-is-awesome

A legszebb az egészben, hogy maga a telefon is tele van ujjlenyomatokkal, jó eséllyel a hátuljáról is le lehetne venni egy használhatót, ha pl. ellopják valakitől.

Fentebb írtam róla, hogy anno vérdíj volt rá kiírva, valami komolyabban vehető összeg, és kb. 5 perccel a kézhezvétel után meg is oldotta valaki, a kb. ismert megoldásokkal, semmi speciális.

"De ha megis, akkor se ennyire konnyen."
Hát igen ez elég könnyen ment. Csak egy ujjlenyomat kellett hozzá, egy photoshop, néhány óra modellezés, eg, pár száz ezres 3D nyomtató, pár óra nyomtatás, 3 újra próbálás. Soha semmi ne menjen nehezebben. :D


return signResponse.getSignForUser("zeletrik").map(SignResolvable::getSign).orElse(StringUtils.EMPTY);

Nem hiszem, hogy bármivel nehezebb lenne átverni (hacsak nem elméletileg), ha bárki által hozzáférhető eszközök használatával ugyanúgy megszívatható.
FYKI Amúgy újabban a legfrissebb Macbookokba is raknak ujjlenyomat-olvasót.
I'm Feeling Lucky: https://www.forbes.com/sites/gordonkelly/2019/02/05/apple-iphone-11-xs-max-xr-upgrade-sale-price-cost-new-iphone-touch-id/

A biztonsághoz hozzátartozik az is, hogy hány sikertelen próbálkozás után tiltja le az ujjlenyomat-olvasóját, amit azután csak jelszóval lehet újra aktiválni - mint ahogy azt a fújócskafosapple csinálja.
Kíváncsi lennék, hogy a stock Samsung stock Androiddal miért hagyja a kilenc ujjamat scannelni majd enged be a tizedik - egyben egyetlen tárolt - ujjlenyomatommal pár másodperc késleltetés után?
Ez azért nagyságrendekkel egyszerűsíti az ujjlenyomat-olvasó átverését, egész konkrétan csak idő kérdése lesz.

Brute force kivédése egy limittel és várakoztatással: órák.

Kiszedni az emberek fejéből a tévképzetet, hogy az ujjlenyomat biztonságos: évek. Még akkor is, hogyha lesz pár iszonyat megosztást elérő cikk róla.

Kérdés az, hogy a Samsung vagy az Apple tett többet ennek a tévképzetnek a megerősítéséért.

Kiszedni az emberek fejéből a tévképzetet, hogy az ujjlenyomat biztonságos: évek. Még akkor is, hogyha lesz pár iszonyat megosztást elérő cikk róla.

Igen, mert ez nem ennyire fekete vagy fehér.

Egy telfon esetében mihez viszonyíthatjuk?
feloldó mintához? pin kódhoz?

Mindekettőnél biztonságosabb, és kényelmesebb is.

Ahogy már más is említette eleve fizikai hozzáférés kell a kihasználásához. Olyankor viszont a gyakorlatban már semmi nem segít.

A másik probléma, az valós: hogy sokan jelszó helyett használják, amikor valójában csak egy speciális (valódi, élő személyhez kapcsolódó, egyedi) felhasználónévként szolgál.

Tehát, egyéb (komolyabb) felhasználás esetén, ha mellé teszel egy OTP tokent (vagy akár csak egy hagyományos jelszót) , akkor várhatóan évtizedekig nem lesz ennél biztonságosabb és kényelmesebb felhasználó azonosítás.

szerintem.
--
zrubi.hu

Ebben most az a hirertek, hogy samsung, vagy s10 vagy 3d nyomtatas?

Mert ujjlenyomat->nyak->faragaszto mar vagy 2 eve sikerult itten.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Csak a tény.