Araştırmacılar Samsung Galaxy S5 akıllı telefonunun parmak izi okuyucusunda kullanıcıların telefonlarını ve PayPal uygulamasını hackerların saldırısına açık hale getiren bir açık bulduklarını duyurdu. YouTube üzerinden yayınlanan videoda Galaxy S5′in parmak izi kilidi tutkaldan yapılmış sahte parmak izi ile aşılabiliyor.
PayPal'ın ekosistem güvenliği başkanı Brett McDowell, The Wall Street Journal gazetesine verdiği röportajda gösterilen hack işleminin gerçek olduğunu ve bilindiğini ancak bu durumun kullanıcıları alarma geçirmemesi gerektiğini söyledi. McDowell, "Ortaya konan kanıtın gerçekliğini sorgulamamız için bir neden yok. Bu, parmak izi algılama teknolojisinin bilinen bir zorluluğu. Bunlar dünyanın en önde gelen araştırmacılarından bazıları. Ancak bu büyütülebilecek bir açık değil. İnsanların çoğunun endişe duyacağı bir şey değil" dedi.
Almanya'nın başkenti Berlin merkezli Security Research Labs (SRLabs) tarafından yayınlanan videoda kalıbı çıkartılmış bir parmak izi ile Galaxy S5′in parmak izi sensörü oyuna getirilerek telefonun kilidi açılıyor. SRLabs video içerisinde yaptığı açıklamada sahte parmak izinin telefonun ekranı üzerinde kalan parmak izinin başka bir telefonun kamerası aracılığı ile çekilmiş fotoğraftan elde edildiğini belirtiyor. Video ilk olarak Ars Technica tarafından duyuruldu.
Videoda konuşan kişi, "[Bu yöntem ile] telefon kapatıldıktan sonra dahi yalnızca parmak izi doğrulaması aşılmakla kalmıyor şifre gerektirmeden sınırsız doğrulama girişimine de imkan veriyor gibi görünüyor." diyor. PayPal şifre yerine Samsung'un parmak izi sensörünü kullanmaya imkan veren uygulamalardan birisi. Videoda araştırmacı parmak izi hilesi ile PayPal'a giriş yapıp hesaptaki parayı bir başka hesaba aktarıyor. McDowell, PayPal'ın parmak izi kullanımının getirdiği güvenliğin ve kolaylığın bir hackerın kişiye ait telefonu ve parmak izini elde edip kullanma ihtimalinden daha fazla ağır bastığına inandığını da söyledi. McDowell ayrıca hackerların parmak izinin kopyasını yapmak için gerekli olan zaman ve kaynakları buluncaya kadar kullanıcının PayPal müşteri hizmetlerini arayarak hesabının kayıp ya da çalıntı telefon ile bağlantısını kesebileceğini de sözlerine ekledi. McDowell, "Bu çok sayıda telefonda yapabileceğiniz bir şey değil. Bu milyonlarca şifreyi hızla elde edebileceğiniz devasa kimlik avı sahtekarlığı da değil. Bu yalnızca aynı anda tek bir cihaz ve tek bir kurban ile sınırlı." dedi.
Apple'ın iPhone 5S'te kullandığı parmak izi okuyucusu da daha önce bir kişi tarafından benzer bir yöntem ile aşılmış ancak bu yöntem üçüncü parti finansal işlemlerin doğrulanmasında kullanılamamıştı. Yalnızca Apple'ın kendi iTunes mağazasında açık kullanılabilmişti.
Samsung ve SRLabs ise konuyla ilgili yorum isteğimize henüz yanıt vermedi.