갤럭시 S20 울트라 지문인식 문제 문의한 분석결과 답변 (삼성 멤버스)
앞의 내용은 먼저 올린 글에 자세히 써놨습니다.
https://www.clien.net/service/board/park/14630246CLIEN
https://www.clien.net/service/board/park/14636539CLIEN
요약하면
자급제 갤럭시 S20 울트라 모델을 받은지 몇시간도 안되어서
지문인식을 등록한 제 손가락이 아닌 동생 손가락에 의해 보안이 풀렸습니다.
카페에서 직접 삼성 CS,개발자분을 만나 현상을 보여드렸고,
필요한 데이터를 채취 한뒤 분석해서 결과를 알려주겠다고 했습니다.
그리고 오늘 오후에 전화로 결과를 알려주셨습니다.
중요한 사항 몇가지만 요약하면
1. 지문분석 결과 : 동생지문과 일부 유사한부분이 있는것을 확인
2. 개발팀에서 저와 동생의 채집한 지문을 통해 테스트를 해봤는데
동생 지문으로 잠금이 풀리는것은 재현되지 않았다.
=>등록당시 손가락의 상태에 따라 상황이 다를수가 있다. (약간 팽창할때도 있고, 건조할때는 수축.. 등등)
=>지문의 유사한 패턴때문에 잠금이 풀리는것으로 추측.
=>이런 유사한 패턴의 상황에서도 잠금이 풀리지 않도록 보안을 더 강화할 예정
3.
Q : 처음 등록시 지문데이터가 폰에 남아있는데, 그걸 이용해 분석은 불가능한가?
A : 카페에서 필요한 데이터는 모두 받아갔다.
하지만, 사용자의 지문데이터는 암호화 되어서 저장되기 때문에
그 데이터를 꺼내어 가져갈수도 없고, 이용할수 있는 방법도 없다.
4.
Q : 보안패치는 언제쯤 적용이 될수있는가?
A : 일정은 확실하진 않지만, 보안이 강화가 되면 제 폰에 먼저 조치를 취해 테스트 해보고하면
늦어도 한달까지는 걸리지 않을것 같다.
5. 이미 등록되어있는 지문을 이용할수 있는 방법은 없기때문에
이 폰에 있는 지문을 지우고 다시한번 테스트를 해주었으면 좋겠다.
(개발자 입장에서 그 결과가 현재로써는 가장 궁금하다고 하심.)
6. 보안패치를 하게되면 현재등록된 지문은 지우고 새로등록을 해야만 한다.
지금도 이미 등록된 지문을 지우고 다시 등록하면 동생지문에 의해 안풀릴 가능성이 크다.
재등록시 문제가 재현이 안되면 다행인것.
어쨌든 현재는 지문방식이 PIN방식보다는 안전한 상태이다.
7. S10+에서 등록했을때는 동생지문으로 풀리지 않았고
S20U도 같은 센서인데, 지문 재등록 테스트를 할필요가 있는가?
센서는 동일하더라도 손의 상태가 매시각 다르기 때문에
S10+를 등록할때와 S20U를 등록할때, 카페에서 등록할때의 상태가 동일하다고 볼수는 없다.
그래서 S10+는 문제가 안나왔으니 정상이고, S20U는 문제가 나왔으니
S20U가 문제다 라고 접근하는것은 조금 무리가 있다.
등록된 지문 데이터는 더이상 분석하는데 필요가 없다고 하셨으니
저도 어쨌든 새로운 폰을 빨리 사용해야하기에
등록된 지문을 지우고 새로 다시한번 등록을 해보았습니다.
그 결과는 동생지문으로 풀리지 않았습니다.
*테스트 결과 (좌측 엄지손가락만)
S10+ : 안풀림
노트10+ : 안풀림
S20 울트라 (재등록시) : 안풀림
여러번 테스트 해본것은 아니고 한번씩 테스트를 위의 기기로 해봤을때의 결과 입니다.
현재까지의 상황은 이렇습니다.
개발자분들께서도 최대한 빠르게 이문제에 대한 보안 강화를 위해 노력하신다고 하니
믿고 기다려야겠네요
빼가는걸 허용하면 보안의 의미가 퇴색되거든요.
우연와 우연이 만나서 1/50000 확률을 뚫었다고 봐야겠지만
진짜로 황당하셨겠어요.
네이버 갤럭시 카페에는 주작이시라고 주장하시는 분의 글을
보고 참 어이없고 당황스럽더군요.
https://cafe.naver.com/anycallusershow/3193036