nrk.no

Samsungs nye flaggskip kan låses opp med en video av eieren

Kategorier: Mobil & Sikkerhet

Her låser vi opp mobilen med å spille av en video av eieren.

Vi klarte å bryte oss inn i en Samsung Galaxy S10 ved å spille av en video av eierens ansikt foran telefonens kamera.

Forrige fredag kom de første leveransene av Galaxy S10, Samsungs nye flaggskip-telefon, til Norge. Ifølge Tek.no «oser telefonen av luksus», og inneholder det aller meste av funksjoner man kan forvente seg av en moderne smarttelefon.

Men, hvis du er opptatt av sikkerhet er dette kanskje ikke telefonen for deg.

En kollega gjorde oss oppmerksom på at YouTuberen Lewis Hilsenteger nylig publiserte en video der han låste opp Samsung Galaxy S10 ved å holde en annen telefon foran kameraet, som spiller av en kort videosnutt av eieren.

Dette måtte vi teste selv.

Tino er en av utviklerne som jobber med NRK TV, og er tilfeldigvis også den stolte eier av en Samsung Galaxy S10. Vi inviterte han bort til kontoret vårt for en liten test.

Tino hadde allerede skrudd på ansiktsgjenkjenning som opplåsingsmetode, så vi stilte ham foran en hvit vegg, og filmet en liten videosnutt av ham med en iPhone X.

Vi skrudde lysstyrken på telefonen som hadde tatt opp videoen til 100 prosent, og spilte av videoen foran kameraet til Tinos Galaxy S10 mens vi aktiverte skjermen.

Noen sekunder senere var telefonen låst opp.

Det er mulig å skru av en funksjon som heter «rask ansiktsgjenkjenning», og etter at vi hadde gjort det, fikk vi ikke låst opp telefonen med videoen.

I menyvalget står det ganske tydelig at telefonen kan forveksle video eller bilder av eieren med det faktiske ansiktet.

Denne funksjonen ser dog ikke ut til å være helt bombesikker; Tek.no skriver at de klarte å låse opp en Galaxy S10 selv om de deaktiverte «rask ansiktsgjenkjenning».

– Dårlig teknisk løsning

Per Thorsheim er sikkerhetssjef i Nordic Choice Hotels, og har i en årrekke arrangert den internasjonale sikkerhetskonferansen PasswordsCon. Han har også veiledet studenten Marte Loge om forutsigbarheten i Androids opplåsningsmønstre, og kan derfor sies å være over gjennomsnittet opptatt av passord og digital sikkerhet.

Arkivbilde av en oppgitt Per Thorsheim. Foto: Martin Gundersen CC BY 4.0 SA

Da han får se videoen blir han ikke overrasket. Thorsheim mener at ansiktsopplåsning først og fremst er en brukervennlighetsfunksjon:

– Dette viser at disse funksjonene er implementert fordi folk ønsker det, fra et brukervennlighetsperspektiv. Ikke for å bedre sikkerheten i produktet.

– Det er jo sånn at man kan sikre telefoner med både ansiktsgjenkjenning og fingeravtrykk, men man har alltid muligheten til å låse opp med kode likevel.

Mens Apple har et ganske lavt antall modeller av sine telefoner i kontinuerlig produksjon, produserer både Samsung, HTC og de andre store telefonleverandørene ganske store mengder ulike modeller. Dette mener Thorsheim kan være en av grunnene til at dårlig sikrede løsninger kommer på markedet:

– Samsung og andre leverandører har en tendens til å lempe ut en mengde modeller på markedet, for å se hva som slår an. Det blir jo da litt fristende å spekulere i om dette er et litt forhastet produkt som har blitt sluppet på markedet.

Nyere varianter av Apples iPhone støtter også ansiktsopplåsing via «Face ID», men benytter seg av en annerledes teknologi: Face ID belyser ansiktet ditt med infrarødt lys, og lager en 3D-modell av ansiktet som blir sjekket opp mot telefonens lagrede modell av deg. For hver gang du låser opp telefonen med «Face ID», oppdaterer telefonen sin lagrede modell, slik at den blir i stand til å kjenne deg igjen med ulike hodeplagg og hårvekst.

I desember forsøkte Forbes å bryte seg inn i en rekke telefoner med et 3D-printet hode. Med unntak av en iPhone X låste det falske hodet opp alle.

Gjennom sitt norske PR-byrå kommenterer Samsung følgende om saken:

Ansiktsgjenkjenning er en praktisk måte å låse opp telefonen på. For handlinger som har et høyere krav til sikkerhet anbefaler Samsung å bruke den nye Ultrasoniske fingeravtrykksleseren, som kun kan låses opp med ditt fysiske fingeravtrykk.

Den Ultrasoniske fingeravtrykksleseren har blitt sertifisert av FIDO Alliance med verdens første Biometric Component Certification som gjenkjenner beste-praksis for enheter med biometrisk sikkerhet.

Ved oppsett av ansiktgjenkjenning vil man få et spørsmål om flere alternativer før man lagrer ditt personlige oppsett. Her kan man velge blant annet «Raskere gjenkjenning», alle alternativer står aktivert som standard – men kan enkelt endres både før og etter oppsett er gjort.

11 kommentarer

  1. Jeg reagerer bestandig med et ironisk smil når jeg ser disse artiklene «Se, det er mulig å lure systemet, det er ikke 110% sikkert!» og ser hva som skal til for «luringen» og hva man oppnår.

    Fingeravtrykk var en god idé. Det fantes utmerkede, svært pålitelige lesere for 15-20 år siden. Så kom en TV-«avsløring» der noen demonstrerte at det var mulig å stjele fingeravtrykket ditt fra et ølglass, få en gummifinger preget med avtrykket ditt, med varmeelementer for å lure temperatur-sensorer og tilføring av fuktighet for å lure sensorer som avleser ledningsevne i huden …

    Herregud, hvem ville gå til tilsvarende skritt for å avlese tannmøsteret i Trio-Ving-nøkkelen til huset mitt? Det ville være langt enklere, og det ville gi dem adgang til langt større verdier enn om de låser opp mobilen min! … Men skrekk-avsløringene la fingeravtrykk dødt i bortimot femten år, fordi det bare var 99,9% sikkert.

    Når publikum hadde lagt sensasjons-avsløringen bak seg, ble det mulig å gjøre nettopp det til High Fashion, uten motforestillinger, selv om dagens avlesere verken bryr seg om temperatur eller ledningsevne i huden.

    Jeg har en viss deja-vu-følelse her … Kanskje skrekk-reportasjene fører til at også denne teknologien blir liggende på is i ti eller tjue år, før folk finner ut at den kanskje ikke var så dum likevel?

    Hvem er det som både klarer å kapre mobilen min og sitter på gode nok videoer av ansiktet mitt til at de får den låst opp med den videoen? Absolutt ikke noen tilfeldig raner eller tyv som stikker av med mobilen.

    Selv ikke politiet, om de skulle beslaglegge den – det måtte være om de hadde mistanke om at jeg bruker den slags autentisering, og tvang meg foran et videokamera vor å skaffe seg videoen. Men kunne de ikke da også bare holde opp den beslaglagte mobile foran ansiktet mitt? … Jeg er såpass varsom at jeg uansett krypterer filer enkeltvis, med passord, om jeg ikke vil at andre skal ha tilgang til innholdet, selv om de har skaffet seg adgang til PCen.

    Med leverandørens advarsler om at dette ikke gir høyeste sikkerhet ser jeg ingen store problemer. Hvis du velger lettvinthet framfor sikkerhet er det din business. Akkurat som om du har qwerty som innloggings-passord. Hvis du etter to hundre oppslag i media om hvor usikkert det er likevel sier at «det er godt nok for meg», da er også den kjappe utgaven av ansiktsgjennkjenning raskt nok for deg.

    (Angående innlogging: Jeg har ikke tall på de mennesker som nekter å tro meg når jeg sier at «Om du ikke gir meg innloggings-passordet, kan jeg bare flytte disken din over i min maskin som D:-disk. Da kan jeg lese alle filene dine, hvis du ikke har beskyttet dem på annen måte, uten å logge inn med ditt brukernavn».)

    Svar på denne kommentaren

    • Torstein Opperud (svar til keal)

      Skulle ikke forundre meg om det er ganske mye enklere å få til en god nok video enn det er å stjele+printe fingeravtrykket.

    • Kenneth Per Brusveen (svar til keal)

      Jeg vil bare legge til, for å deaktivere face id så holder man inne Lyd opp og dvale/strøm knappen i 2 sekunder. Greit å vite hvis man havner i en situasjon der noen vil prøve å bryte seg inn på Iphone ved å holde den foran ansiktet.

  2. Ville det være bedre journalistikk å sammenlikne flere utbredte modeller og merker? Nå framstår dette som iphonereklame, og en leserkommentar indikerer at det er feil at ikke også den kan låses opp. Man skal jo være relativt begrenset teknisk for å tro at ansiktsgjenkjenning har med sikkerhet å gjøre. Sikkerhet er tofaktorautentisering, for eksempel. Som selvsagt også kan svikte, men risikoen er i det minste svært liten i normale tilfeller.

    Svar på denne kommentaren

    • Torstein Opperud (svar til Ole P)

      Vel… tofaktorautentisering på mobilen blir jo litt klønete, med mindre vi får leverandørene til å implementere bank ID eller noe lignende da, for meldinger osv som kommer via mobilen går jo ikke. Samtidig har JP også så mange nå byttet til bankid mobil…

      Evt fingeravtrykk+ansiktsgjenkjenning samtidig. Sikkerhet på mobilen må nok være relativt enkel for å være praktisk og enkel nok til at folk faktisk bruker den, og heller være beregnet på å stoppe tilfeldige tyver etc.

  3. Dette er vel ikke noe problem med S10 mer enn alle andre Android-telefoner med vanlig face unlock? Det har da vært kjent at face unlock er bekvemmelighet, ikke sikkerhet siden det ble lansert. Jeg husker ikke nøyaktig når dette skjedde, men jeg hadde i alle fall funksjonen på en HTC One X i 2012. Sju år gamle «nyheter» altså.

    Da synes jeg det blir skuffende tabloid av NRKbeta å vinkle dette som «Men, hvis du er opptatt av sikkerhet er dette kanskje ikke telefonen for deg.», spesielt tatt i betraktning at telefonen har fingeravtrykksleser som for alle praktiske formål er sikker.

    Benytt heller anledningen til å skrive en informativ sak om at face unlock er usikkert på de aller fleste Android-telefoner, påpek de hederlige unntakene og vis til sikrere måter leserne kan låse opp telefonen sin.

    Svar på denne kommentaren

  4. Erling Rebnord

    Hvor mange har systemlås og alarm med direktevarsling på huset. Hvordan oppbevarer de dokumenter hjemme med sensitivt innhold? Det er mye i hverdagen til mange som ikke er i nærheten av sikkerheten på en mobiltelefon. Og hvor mange er det som ikke har tatt i bruk hverken ansiktsgjennkjenning, iris eller fingeravtrykk fordi det er for komplisert? Da blir det pin eller mønster 🙂

    Svar på denne kommentaren

  5. Daniel Olai Danielsen

    Her er jo problemet at artikkelforfatteren ikke forstår teknologien, ikke at teknologien fungerer dårligere enn forventet.

    Annsiktsgjenkjenning ER en svakere beskyttelse. Og den er helt frivillig å benytte seg av, akkurat som «linje mellom prikker»-låsen hvor fett-sporet på skjermen gjerne viser hemmeligheten – eller ‘sveip for å låse opp’ for den saks skyld, som også klarer å holde flere av familiemedlemmene mine ute av en telefon.

    «Men, hvis du er opptatt av sikkerhet er dette kanskje ikke telefonen for deg.» blir en tullete påstand når dere kun beviser at en av de svake låsene er svake.

    Hvor fort «hacker» dere en S10 som er i Lockdown, den eneste sikringen som er «sterk» ifølge sikkerhetsmenyen? Hva gjør S10 til en telefon med dårligere sikkerhet enn en annen Pie-telefon eller iOS-telefon når de brukes riktig?

    Svar på denne kommentaren

  6. Maximiliano Horta

    Samsung advarer jo mot dette ganske klart å tydelig ved å skrive at mobilen kan åpnes med et bilde av deg ved aktivering av ansiktgjenkjenning. Det å lage en slik artikkel er ganske misvisende, når det advares mot å bruke det av produsenten selv.

    Svar på denne kommentaren

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hva gjør at iPhones «Face ID» ikke kan låses opp med en video?

Hva heter YouTuberen som vi linker til i saken?

Hva heter konferansen som Per Thorsheim arrangerer?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.