Способ обмануть встроенный биометрический датчик смартфона iPhone 5S немецким хакерам Chaos Computer Club удалось найти в течение всего пары дней после появления устройства в продаже. Хакеры использовали известную методику изготовления слепка отпечатка пальца, которая, как удалось выяснить их коллегам из команды SRLabs, годится и для взлома смартфона Galaxy S5.

Изготовленный при помощи специальной плёнки, краски и клея "отпечаток" позволяет не только разблокировать смартфон и получить доступ к конфиденциальной информации его пользователя, но и совершать операции в службе PayPal. Последняя считает идентификацию по отпечатку пальца достаточной для подтверждения личности владельца смартфона и не требует ввода дополнительных паролей для перевода средств.

Что характерно, Galaxy S5 допускает неограниченное количество попыток для считывания отпечатка, что даёт злоумышленникам некоторую свободу действий. Впрочем, для успешного взлома нужно заполучить изображение в высоком разрешении папиллярных линий "правильного" пальца, что является отнюдь не тривиальной задачей.

Комментарий компании PayPal по данному вопросу: "Мы очень серьезно относимся к информации Security Research Labs, однако мы по-прежнему уверены, что аутентификация с помощью отпечатка пальца дает возможность для простой и безопасной оплаты на мобильных устройствах. PayPal никогда не хранит и даже не имеет доступа к вашему отпечатку пальца на Galaxy S5. Отсканированное изображение открывает защищенный криптографический ключ, который служит заменой пароля для телефона. Мы можем просто деактивировать ключ на сломанном или украденном устройстве и вы можете создать новый. PayPal также использует сложнейшие инструменты по управлению с рисками и борьбе с мошенничеством, чтобы предотвращать правонарушения. Однако, в редких случаях, когда мошенничество произошло, соответствующие транзакции на вашем счете PayPal покрываются нашей Программной защиты покупателей."