Uma fotografia do olho de alguém com uma lente de contacto por cima pode ser o suficiente para enganar o leitor de íris do novo Samsung Galaxy S8, e desbloquear o aparelho. A funcionalidade do leitor de íris, descrita como “virtualmente impossível de replicar” pela Samsung – por se tratar de um método de autenticação biométrica que utiliza uma característica única do indivíduo para o identificar –, é derrotada num vídeo de um minuto publicado, esta terça-feira, por um grupo de hackers da Alemanha.

O processo é simples: basta utilizar uma câmara digital para tirar uma fotografia do dono do telemóvel que se quer atacar (uma distância de cinco metros com zoom de 200 milímetros é o suficiente para a imagem captada funcionar), imprimi-la com uma impressora a laser e colocar uma lente de contacto por cima do olho impresso. O processo funciona melhor se a imagem for tirada com o modo nocturno da câmara activado, ou com o filtro de infravermelhos desligado.

Num comunicado enviado à imprensa, a Samsung admite estar consciente do problema, embora defenda que o processo não é assim tão fácil de replicar: “requer a situação improvável de  se estar na posse de uma fotografia em alta resolução da íris do proprietário do smartphone tirada com uma câmara de infravermelhos, ter-se o smartphone do proprietário e ainda lentes de contacto, tudo ao mesmo tempo." A empresa acrescenta: "Se houver uma possível vulnerabilidade ou o surgimento de um novo método que desafie os nossos esforços para garantir a segurança do telefone a qualquer momento, vamos responder o mais rapidamente possível para resolver a questão."

“O reconhecimento via íris ainda pode ser minimamente suficiente para proteger o telemóvel de alguém contra desconhecidos,” admite a grupo, conhecido como Chaos Computer Club, num comunicado sobre o vídeo. “Porém, qualquer pessoa que tenha uma fotografia do dono legítimo do telemóvel pode desbloquear o telefone facilmente.”

O objectivo era provar que as palavras-passe tradicionais continuam a ser mais seguras do que os novos métodos de autenticação biométrica. Segundo o grupo, o facto de algumas pessoas utilizarem os telemóveis como forma de pagamento permite que um atacante de sucesso consiga acesso simultâneo à informação do telemóvel e à carteira do dono.

Em Março, antes do Galaxy S8 chegar às lojas, o sistema de reconhecimento facial também já tinha sido derrotado através de vários vídeos – disponíveis no Youtube – com utilizadores a enganar o sistema com recurso a fotografias.  

Porém, os sistemas de autenticação biométrica via íris do Galaxy S8 não são os únicos com falhas. Em 2013, o grupo alemão mostrou que se podem replicar impressões digitais para enganar o touch ID – um mecanismo de autenticação utilizados nos iPhones – ao recolher impressões digitais de copos de água para criar moldes.

No começo de Abril, uma equipa de investigadores norte-americanos também demonstrou a possibilidade de desenvolver um conjunto de “impressões digitais mestras” capazes de enganar os sensores de telemóveis com esta funcionalidade até 65% das vezes.

Porém, segundo Dirk Engling, um porta-voz do grupo alemão Chaos Computer Club, o risco de segurança é maior para sistemas de reconhecimento facial. “Em alguns casos, basta uma fotografia de alta resolução da Internet para captar a íris."