삼성 스크린 지문인식 보안 취약점 논란

안녕하세요? AntenaLion입니다. 

 

오늘은 삼성스마트폰의 스크린 지문인식 보안취약점 논란 이슈에 관한 글을 작성해보려고 합니다. 

 

 

1. 논란 문제가 무엇인가?

삼성의 초음파 스크린 지문인식이 탑재된

갤럭시 S10, S10+, S10 5G, Note10, Note10+ 제품군에서 

 

제품의 화면 지문인식부위 위에

TPU 소재의 유막방지 도트프린팅이 된 일부 젤리 케이스를 대고 

그 위에 지문 등록이 되지 않은 손가락이나 다른 부위를 대는경우에 

 

스마트폰의 잠금이 해제되는 보안 취약점이 발견되었습니다. 

 

(모든 TPU소재 젤리케이스가 되는것은 아니고,

링X에어나 X피겐 리퀴드 크리스탈 또는 일부 케이스에서 증상이 발생한다고 합니다.)

 

 

2. 살펴볼만한 부분. 

논란 초반에 TPU 소재의 젤리케이스를 화면에 댄 상태로 지문을 등록해서 

지문센서에서 도트패턴을 지문대신 저장하는게 아닌가 하는 의혹이 있었지만, 

 

해당이슈는 지문등록 절차 없이 해당 제품군에서 바로 잠금해제가 가능했습니다.

(즉, TPU케이스를 댄 상태로 지문등록을 하지 않아도 보안취약점이 유효하다는 것)

 

출처 - https://twitter.com/Sta_Light_/status/1184475413252210688/video/1

StaLight on Twitter

위 링크의 영상을 보시면

TPU케이스랑 별개로 기존에 등록한 지문 하나만 있는 상태에서 

TPU 젤리케이스를 통한 등록하지 않은 손가락으로 잠금해제가 가능했습니다. 

 

 

3. 삼성에서 해당 이슈를 인지하고 있는가?

네, 삼성에서는 9월 10일 삼성멤버스를 통해 해당 취약점에 대한 제보를 받았으며, 

9월 11일~20일 1~3차 문제 파악중이라는 답변과 10월 8일 수정중이라는 4차 답변을 하였으며 

 

비공개로 해당 문제에 대해 수정중에 있었으나, 10월 16일 해외 포브스를 통해 해당 이슈가 공개되었다고 합니다. 

출처 - https://meeco.kr/mini/25753542

이전에 언급한 지문인식 보안 이슈, 결국 공론화 되었네요 - 미코

국내에서는 미코(미니기기 코리아)를 통하여 최초로 알려졌으며, 

위 링크에서 글 작성자가 멤버스에 문제를 제보하고 진행되는 과정에 대해 확인이 가능합니다. 

 

 

4. 결론 

일부 TPU 케이스를 통해 해당 이슈 제품군의 지문인식을 우회할 수 있습니다. 

삼성에서는 9월 10일부터 해당 취약점에 대해 인지하고 해결을 위해 노력하고 있지만 

취약점이 완전히 해결되기까지는 앞으로도 다소 시간이 걸릴것으로 보입니다. 

 

지문 인식 취약점으로 인하여 스마트폰 분실시

내부 데이터(지문잠금을 사용하는경우 Knox 보안폴더 포함)의 유출이나 

삼성페이를 통한 결제 및 송금기능을 도용당하여 금융피해를 입을 수 있으므로 

 

스마트폰을 분실하지 않도록 각별히 주의를 기울여주셔야할것으로 보입니다. 

 

해당 취약점이 걱정되시는분들은 잠금방식에서 지문을 사용하지 않는것도 하나의 방법이 되겠습니다. 

 

 

5. (추가) 초음파식이 아닌 광학식인 갤럭시탭 s6에서도 해당 취약점이?

출처 - https://www.clien.net/service/board/park/14171378

갤탭 s6 지문인식 실험 : 클리앙

클리앙을 통해서 광학식 스크린 지문인식인 갤럭시탭 s6에서도 동일한 취약점이 있는것으로 제보되었습니다. 

 

초음파센서의 문제보다는 삼성의 지문 알고리즘에 문제가 있는것아닐까 의심이 됩니다.