Vi klarte å bryte oss inn i en Samsung Galaxy S10 ved å spille av en video av eierens ansikt foran telefonens kamera.

Forrige fredag kom de første leveransene av Galaxy S10, Samsungs nye flaggskip-telefon, til Norge. Ifølge Tek.no «oser telefonen av luksus», og inneholder det aller meste av funksjoner man kan forvente seg av en moderne smarttelefon.

Men, hvis du er opptatt av sikkerhet er dette kanskje ikke telefonen for deg.

En kollega gjorde oss oppmerksom på at YouTuberen Lewis Hilsenteger nylig publiserte en video der han låste opp Samsung Galaxy S10 ved å holde en annen telefon foran kameraet, som spiller av en kort videosnutt av eieren.

Dette måtte vi teste selv.

Tino er en av utviklerne som jobber med NRK TV, og er tilfeldigvis også den stolte eier av en Samsung Galaxy S10. Vi inviterte han bort til kontoret vårt for en liten test.

Tino hadde allerede skrudd på ansiktsgjenkjenning som opplåsingsmetode, så vi stilte ham foran en hvit vegg, og filmet en liten videosnutt av ham med en iPhone X.

Vi skrudde lysstyrken på telefonen som hadde tatt opp videoen til 100 prosent, og spilte av videoen foran kameraet til Tinos Galaxy S10 mens vi aktiverte skjermen.

Noen sekunder senere var telefonen låst opp.

Det er mulig å skru av en funksjon som heter «rask ansiktsgjenkjenning», og etter at vi hadde gjort det, fikk vi ikke låst opp telefonen med videoen.

Denne funksjonen ser dog ikke ut til å være helt bombesikker; Tek.no skriver at de klarte å låse opp en Galaxy S10 selv om de deaktiverte «rask ansiktsgjenkjenning».

– Dårlig teknisk løsning

Per Thorsheim er sikkerhetssjef i Nordic Choice Hotels, og har i en årrekke arrangert den internasjonale sikkerhetskonferansen PasswordsCon. Han har også veiledet studenten Marte Loge om forutsigbarheten i Androids opplåsningsmønstre, og kan derfor sies å være over gjennomsnittet opptatt av passord og digital sikkerhet.

Da han får se videoen blir han ikke overrasket. Thorsheim mener at ansiktsopplåsning først og fremst er en brukervennlighetsfunksjon:

– Dette viser at disse funksjonene er implementert fordi folk ønsker det, fra et brukervennlighetsperspektiv. Ikke for å bedre sikkerheten i produktet.

– Det er jo sånn at man kan sikre telefoner med både ansiktsgjenkjenning og fingeravtrykk, men man har alltid muligheten til å låse opp med kode likevel.

Mens Apple har et ganske lavt antall modeller av sine telefoner i kontinuerlig produksjon, produserer både Samsung, HTC og de andre store telefonleverandørene ganske store mengder ulike modeller. Dette mener Thorsheim kan være en av grunnene til at dårlig sikrede løsninger kommer på markedet:

– Samsung og andre leverandører har en tendens til å lempe ut en mengde modeller på markedet, for å se hva som slår an. Det blir jo da litt fristende å spekulere i om dette er et litt forhastet produkt som har blitt sluppet på markedet.

Nyere varianter av Apples iPhone støtter også ansiktsopplåsing via «Face ID», men benytter seg av en annerledes teknologi: Face ID belyser ansiktet ditt med infrarødt lys, og lager en 3D-modell av ansiktet som blir sjekket opp mot telefonens lagrede modell av deg. For hver gang du låser opp telefonen med «Face ID», oppdaterer telefonen sin lagrede modell, slik at den blir i stand til å kjenne deg igjen med ulike hodeplagg og hårvekst.

I desember forsøkte Forbes å bryte seg inn i en rekke telefoner med et 3D-printet hode. Med unntak av en iPhone X låste det falske hodet opp alle.

Gjennom sitt norske PR-byrå kommenterer Samsung følgende om saken: