Vi klarte å bryte oss inn i en Samsung Galaxy S10 ved å spille av en video av eierens ansikt foran telefonens kamera.
Forrige fredag kom de første leveransene av Galaxy S10, Samsungs nye flaggskip-telefon, til Norge. Ifølge Tek.no «oser telefonen av luksus», og inneholder det aller meste av funksjoner man kan forvente seg av en moderne smarttelefon.
Men, hvis du er opptatt av sikkerhet er dette kanskje ikke telefonen for deg.
En kollega gjorde oss oppmerksom på at YouTuberen Lewis Hilsenteger nylig publiserte en video der han låste opp Samsung Galaxy S10 ved å holde en annen telefon foran kameraet, som spiller av en kort videosnutt av eieren.
Dette måtte vi teste selv.
Tino er en av utviklerne som jobber med NRK TV, og er tilfeldigvis også den stolte eier av en Samsung Galaxy S10. Vi inviterte han bort til kontoret vårt for en liten test.
Tino hadde allerede skrudd på ansiktsgjenkjenning som opplåsingsmetode, så vi stilte ham foran en hvit vegg, og filmet en liten videosnutt av ham med en iPhone X.
Image may be NSFW.
Clik here to view.
Vi skrudde lysstyrken på telefonen som hadde tatt opp videoen til 100 prosent, og spilte av videoen foran kameraet til Tinos Galaxy S10 mens vi aktiverte skjermen.
Noen sekunder senere var telefonen låst opp.
Det er mulig å skru av en funksjon som heter «rask ansiktsgjenkjenning», og etter at vi hadde gjort det, fikk vi ikke låst opp telefonen med videoen.
Clik here to view.
Denne funksjonen ser dog ikke ut til å være helt bombesikker; Tek.no skriver at de klarte å låse opp en Galaxy S10 selv om de deaktiverte «rask ansiktsgjenkjenning».
– Dårlig teknisk løsning
Per Thorsheim er sikkerhetssjef i Nordic Choice Hotels, og har i en årrekke arrangert den internasjonale sikkerhetskonferansen PasswordsCon. Han har også veiledet studenten Marte Loge om forutsigbarheten i Androids opplåsningsmønstre, og kan derfor sies å være over gjennomsnittet opptatt av passord og digital sikkerhet.
Clik here to view.
Da han får se videoen blir han ikke overrasket. Thorsheim mener at ansiktsopplåsning først og fremst er en brukervennlighetsfunksjon:
– Dette viser at disse funksjonene er implementert fordi folk ønsker det, fra et brukervennlighetsperspektiv. Ikke for å bedre sikkerheten i produktet.
– Det er jo sånn at man kan sikre telefoner med både ansiktsgjenkjenning og fingeravtrykk, men man har alltid muligheten til å låse opp med kode likevel.
Mens Apple har et ganske lavt antall modeller av sine telefoner i kontinuerlig produksjon, produserer både Samsung, HTC og de andre store telefonleverandørene ganske store mengder ulike modeller. Dette mener Thorsheim kan være en av grunnene til at dårlig sikrede løsninger kommer på markedet:
– Samsung og andre leverandører har en tendens til å lempe ut en mengde modeller på markedet, for å se hva som slår an. Det blir jo da litt fristende å spekulere i om dette er et litt forhastet produkt som har blitt sluppet på markedet.
Nyere varianter av Apples iPhone støtter også ansiktsopplåsing via «Face ID», men benytter seg av en annerledes teknologi: Face ID belyser ansiktet ditt med infrarødt lys, og lager en 3D-modell av ansiktet som blir sjekket opp mot telefonens lagrede modell av deg. For hver gang du låser opp telefonen med «Face ID», oppdaterer telefonen sin lagrede modell, slik at den blir i stand til å kjenne deg igjen med ulike hodeplagg og hårvekst.
I desember forsøkte Forbes å bryte seg inn i en rekke telefoner med et 3D-printet hode. Med unntak av en iPhone X låste det falske hodet opp alle.
Gjennom sitt norske PR-byrå kommenterer Samsung følgende om saken:
Ansiktsgjenkjenning er en praktisk måte å låse opp telefonen på. For handlinger som har et høyere krav til sikkerhet anbefaler Samsung å bruke den nye Ultrasoniske fingeravtrykksleseren, som kun kan låses opp med ditt fysiske fingeravtrykk.
Den Ultrasoniske fingeravtrykksleseren har blitt sertifisert av FIDO Alliance med verdens første Biometric Component Certification som gjenkjenner beste-praksis for enheter med biometrisk sikkerhet.
Ved oppsett av ansiktgjenkjenning vil man få et spørsmål om flere alternativer før man lagrer ditt personlige oppsett. Her kan man velge blant annet «Raskere gjenkjenning», alle alternativer står aktivert som standard – men kan enkelt endres både før og etter oppsett er gjort.