Geçen haftadan bu yana cep telefonu sektöründe en çok konuşulan sorunlardan birisi Samsung Galaxy S10 telefonlarının kilidini herhangi bir parmak izinin açabilmesi. Olay geçen hafta İngiliz The Sun’da yayınlanan ve 34 yaşındaki Lisa Neilson’ın deneyimlerini anlatan bir haberle ortaya çıktı.
Neilson Samsung Galaxy S10 için 2.70 £ (yaklaşık 20,5 TL) fiyatla bir ucuz ekran koruyucu almış. Taktıktan sonra, sağ başparmağı ile telefonu kullanmayı hedeflemiş ve kaydetmiş ama sonra sol parmağını kullanmış ve ekranın açıldığını görmüş.
Daha sonra denediğinde, herhangi bir parmak izinin telefonun kilidini açabildiğini farketmiş. Eşinin parmağı ile denemiş ve yine açıldığını görmüş.
Bu çok tehlikeli bir durum çünkü, telefonun kilidini bu kadar kolay açan, finansal uygulamalara ve hatta para transferine de erişim sağlar.
Oysa Samsung, telefonunuzu ancak yetkili kişinin açabileceğini söylüyordu
Galaxy S10, Mart 2019’da piyasaya sürüldüğünde, Samsung, eliniz ıslakken bile işe yarayabilecek, doğrudan ön ekrana yerleştirilmiş bir ultrasonik parmak izi tarayıcısıyla “gelecek nesil kasa-mantıklı güvenlik” konusunda övünüyordu.
“Ultrasonik darbeleri kullanarak, parmak izinizin 3B sırtlarını ve vadilerini algılar, böylece telefonunuza yalnızca siz erişebilirsiniz. Güvenli ve kullanışlıdır – istediğiniz uygulamayı açmak için kilidini açmanıza, sürüklemenize ve tutmanıza izin verir. ”
Peki, bu “gelecek nesil” parmak izi tarayıcısı, parmak izi ayırma konusunda nasıl bu kadar zayıf olabilir? Uzmanlar bunun ekran koruyucusu ile ilgili olduğunu söylüyor.
Samsung, diğer cihazlar tarafından kullanılan optik veya kapasitif sensörler yerine ultrasonik parmak izi sensörünü kullanmayı seçti. Ses tabanlı parmak izi sensörleri, telefona basılan parmağa karşı ultrasonik bir sıçrama gönderiyor. Nabzın parmağınızın kenarlarından nasıl geri döndüğüne bağlı olarak ses baskısını dinliyor.
Ancak, parmak izinizi bu tür bir ekran koruyucusunun arkasındaki ultrasonik parmak izi sensörüne kaydederseniz, bunun lastik eldivenlerden parmak izi okumaya çalışmakla aynı olduğu kaydediliyor. Ultrasonik parmak izi tarayıcıları, bazı koruyucularda sorun yaşayabilir çünkü gerçek parmak izi sırtlarından ziyade ekran koruyucudan geri sıçrayan “parmak izi” sesini kaydedebilirler.
Kısacası, telefon, ekran koruyucunun içinden basan herhangi bir parmak gibi görünebilecek bir parmak izini “kaydetti”. Yani parmak izi ilk önce güvenilir bir şekilde kaydedilmedi.
Samsung Belirli Ekran Koruyucularında Sorun Var Dedi
Samsung da benzer bir açıklama yaptı : “belirli silikon ekran koruyucularının” soruna yol açtığını ve kullanıcıların bu koruyucuları kullanmayı bırakmaları ve parmak izlerini onlarsız yeniden kaydetmeleri gerektiğini söyledi [2].
Ancak Samsung’un Parmak izi Sorunu Daha Büyük Olabilir
Ancak sorunun bu kadar basit olmadığını iddia edenler var. Yeni bir gelişme, bir “Note 10” kullanıcısı, üzerine bir TPU [3] tabakası yerleştirerek parmak izi tarayıcısını kandırmayı başardı. Bu, güvenlik açığının yalnızca bir ekran koruyucusu üzerinden kaydedilen parmak izleriyle ilgili olmadığını gösterdiği kaydediliyor.
Yukarıdaki video bunu gösteriyor. Kullanıcının Note 10’unun ekran koruyucusuz olduğunu ve test amacıyla hem başparmaklarını hem de işaret parmaklarını yeniden kaydettirdiğini görüyoruz. Kullanıcı, 1:22 dakikada, telefonun kayıtlı olmayan bir parmak izi ile kilidini açmak için tarayıcıyı kandırmayı başaran ekranın alt kısmının üzerine TPU açıklığını yerleştiriyor. Aynı işlem, farklı parmaklarla ve tarayıcı her atlandığında birçok kez gerçekleştirilmiş.
Bu arada, geçmişte Samsung Galaxy S10’un parmak izi tarayıcısıyla ilgili çeşitli endişeler dile getirilmişti. Örneğin; bir şarap kadehindeki parmak izinin 3 boyutlu resminin, kilidi açmak için kullanılabileceği gibi haberler de yayılmıştı [4].
Yani Samsung telefonunuz varsa, parmakizi konusuna dikkatli yaklaşın deriz.
[1] Samsung Galaxy S10 Screen Protector
[2] Statement on Fingerprint Recognition Issue
[3] TPU = Thermoplastic polyurethane. Yani poliüretan plastikler. Bu tür malzemeler elastik, şeffaf ve yağa, suya karşı dayanıklıdır.
[4] Samsung Galaxy S10 Fingerprint Scanner Hacked – Here’s What You Need To Know