Fingersensorsystemet i Galaxy S5 har ikke nok programvaresikkerhet, og er derfor for enkel å hacket. At PayPal er støttet av systemet gjør hacken enda farligere, men man må fortsatt kopiere fingermønsteret til eieren av mobilen.
Samsung bør oppdatere S5-Android
Hackeren bruker et materiale som gir avtrykk av fingeren i kombinasjon med helt vanlig trelim, og kan på den måten dra materialet over mobilen og dermed også låse den opp, og til og med få full tilgang til andres PayPal-kontoer.
Dette er også mulig med Touch ID (altså å kopiere fingermønsteret), men til forskjell fra Apples system krever ikke Samsungs Android-versjon at man taster passordet sitt ved første gangs bruk, eller etter omstart (gjelder også PayPal-appen) – dessuten gis brukeren så ubegrenset med sjanser til å autentisere fingermønsteret.
Dette sier PayPal
Samsung har ikke kommentert saken enda, men PayPal svarer følgende til Boy Genius Reports:
Annonse
«Selv om vi tar oppdagelser fra Security Research Labs veldig seriøst, er vi sikre på at finger-autentiseringen vi tilbyr gir en enkel og sikrere måte å betale på med mobilen enn med passord og kredittkort.
PayPal lagrer aldri, eller har tilgang til, fingermønsteret med autentisering på Galaxy S5. Skanneren låser opp en sikker kryptografisk nøkkel som fungerer som en passord-erstatter på mobilen.
Vi kan rett og slett deaktivere nøkkelen fra en mistet eller stjålet enhet, og du kan lage en ny en. PayPal bruker også sofistikert svindel og risiko-organiseringsverktøy for å prøve å stopper svindler før de skjer. Men, i sjeldne tilfeller om det skulle skje noe, er du sikret under vår handle-vilkår.»
Kilde:
BGR
Annonse
