De Duitse hackersclub Chaos Computer Club (CCC) is erin geslaagd om de irisscanner van de Samsung Galaxy S8 te hacken. Een geprinte foto van een iris waarop een contactlens was aangebracht, bleek voldoende te zijn om de irisscanner te misleiden.
Hacker Jan Krissler van de CCC had een foto genomen met een camera met infraroodfunctie vanaf een paar meter afstand. Vervolgens printte hij een uitvergrote versie van het oog met een laserprinter. Tot slot bracht hij een gewone contactlens aan op de foto van de iris. Wat bleek? De irisscanner van Galaxy S8 accepteerde dit als een echt oog.
Touch ID-scanner
“Onder bepaalde omstandigheden zou zelfs een foto met hoge resolutie van het internet voldoende kunnen zijn om een iris vast te leggen,” concluderen de onderzoekers van de CCC. Het is niet de eerste keer dat de CCC de tekortkomingen van lichaamseigenschappen voor authenticatie aantoont. Jan Krissler slaagde er eerder in om de Touch ID-scanner van de iPhone 5S binnen een etmaal te omzeilen met een fake-duim.
Pinbeveiliging
Een irisscan zou volgens de CCC zelfs nog minder veilig zijn dan vingerafdrukken: “Het veiligheidsrisico bij een irisscan is nog groter dan bij vingerafdrukken, omdat we onze irissen vaak laten zien.” Het advies van de onderzoekers luidt: “Als je de data op je telefoon belangrijk vindt, en het mogelijk voor betalingen wil gebruiken, is het gebruik van de traditionele pin-beveiliging veiliger dan het gebruik van lichaamseigenschappen voor authenticatie.”