FUD do dia: leitor de digitais do Galaxy S10 é vencido por impressora 3D

O Galaxy S10, a atual menina dos olhos da Samsung, teve seu novíssimo sensor de digitais sob a tela hackeado. Você já deve ter visto uma penca de sites por aí dizendo que esta á uma falha de segurança grave, que a fabricante não se preocupa com seus usuários, yada yada yada.

Só que como você já deve ter imaginado, este é mais um caso de FUD injustificado, por um simples motivo: o método para vencer a biometria do aparelho é inacessível para a maioria das pessoas.

• Galaxy S10 chega ao Brasil e faz o Android ficar perto de R$ 10 mil
• Samsung está desenvolvendo tela que vai "esconder" a câmera selfie

O sensor sob a tela, que não é uma tecnologia tão nova assim (a Samsung bateu cabeça por anos até introduzi-lo no S10) é mais seguro que o tradicional, pois ao invés de analisar o desenho das digitais do usuário, emite ondas ultrassônicas para criar um modelo 3D do seu dedo, registrando dados como altura dos sulcos e presença de poros.

Claro que esta é uma chave de biometria bem segura, mas com algum trabalho, conseguiram vencer a proteção e ter acesso ao celular com uma digital falsa. Um usuário chamado darkshark publicou como fez para enganar o sensor de digitais, fazendo-o abrir o acesso com um modelo da digital do usuário cadastrado.

I attempted to fool the new Samsung Galaxy S10's ultrasonic fingerprint scanner by using 3d printing. I succeeded.

No vídeo acima, ele demonstra o hack utilizando uma lâmina com a digital do usuário impressa, o que por si só é o primeiro problema para usuários comuns. Mas vamos detalhar um pouco mais:

• darkshark é um profissional de Segurança da Informação;
• Ele coletou a digital numa taça de vinho, e a levou para o Photoshop;
• Após criar a máscara da digital, ele utilizou o 3ds Max para criar uma versão tridimensional da mesma;
• Por fim, o projeto foi impresso em 3D de alta definição, processo que levou cerca de 13 minutos.

Ou seja, é trabalho demais para coletar uma digital de um usuário, o processo não é prático, não é rápido, é caro (uma impressora precisa o bastante para imprimir digitais não se encontra em qualquer esquina), e a menos que você seja um alto executivo de uma EvilCorp, não será o próximo alvo do MacGyver.

A internet se alimenta do FUD (Fear, Uncertainty and Doubt, ou Medo, Incerteza e Dúvida) em busca de cliques, e qualquer exploit mirabolante, como este vira "Galaxy S10 é hackeado com uma taça de vinho", o que não só é um exagero, como não significa nada para o reles mortal.

Afinal, convenhamos: você é tão importante assim para que um hacker gaste uma nota imprimindo a sua digital em 3D, apenas para pegar seus nudes e conversas do WhatsApp?

Como já dissemos, é preciso um equilíbrio entre biometria de qualidade e que seja fácil de ser usada. A segurança do scanner facial, tirando aparelhos de ponta, é risível e pode ser vencida com uma foto, mas também há o fator de preguiça do usuário, que "cansou" de digitar senhas e PINs. A biometria por digitais é bem mais segura, e só precisa de um dedão na tela, e para a grande maioria dos usuários, será mais do que suficiente.

Claro, como bem disse o XKCD, nenhum sistema é 100% infalível, e basta uma chave de boca de US$ 5 que você quebra qualquer nível de segurança, mas se você não faz parte do Grande Esquema das Coisas, dificilmente você será um alvo; ainda mais de métodos tão intrincados para vencer proteções de alto nível.

Com informações: The Verge.