واستخدم الفريق في عملية الاختراق نفس الطريقة التي كان قد نجح من خلالها، العام الماضي، في اختراق نظام TouchID للتحقق عبر البصمة الموجود في هاتف "آيفون 5 إس"، وذلك باستخدام بصمة مزيفة.
ونجح الفريق الأمني في إنتاج البصمة المزيفة عبر تصوير بصمة المستخدم الأصلية من الهاتف، حيث تكون مطبوعة من أثر الإستخدام إما على الشاشة أو على مستشعر قراءة البصمة أو على الجزء الخلفي من الجهاز.
وتم معالجة البصمة عقب تصويرها على الحاسوب ليتم إبراز النقاط الأساسية فيها، وتهيئتها للطباعة عبر تحويلها إلى اللون الأبيض والأسود، ومن ثم طباعتها بدقة عالية وبحجم مناسب للبصمة الحقيقة باستخدام طابعة ليزر عادية.
وقام الفريق الأمني بتثبيت البصمة المطبوعة على قطعة من المعدن ومن ثم قاموا بتعريضها لضوء عال لزيادة دقتها وتهيئتها للطباعة على طبقة من المطاط والغراء الأبيض، وهي الطبقة التي تستخدم فيما بعض كمنتج نهائي لخداع مستشعر قراءة البصمة.
وأشار الفريق الأمني إلى أنه لم يحتاج إلى إنتاج بصمة مزيفة جديدة لخداع المستشعر الموجود في "جالاكسي إس 5" حيث تم استخدام نفس البصمة التي تم إنتاجها العام الماضي لخداع المستشعر الخاص بهاتف "آيفون 5 إس" العام الماضي.
وأضاف الفريق أن عملية إنتاج البصمة المزيفة تحتاج لوقت وخبرة من المخترق لكيفة إنتاجها بدقة تقارب البصمة الحقيقية، إلا أنها ليست مستحيلة أو صعبة للغاية، مما يجعل إمكانية اختراق الأجهزة التي تعتمد على تلك المستشعرات متاحة.
وأكد الفريق أن الخطورة الحقيقة وراء اختراق مستشعرات قراءة البصمة تكمن في القدرة على السيطرة على الهواتف دون الحاجة لتخمين كلمات السر، واستخدام التطبيقات التي يتم التحقق من المستخدم فيها عن طريق البصمة.
يذكر أن الفريق الأمني قد دلل على خطورة الاعتماد على مستشعرات قراءة البصمة وحدها، باستغلال البصمة المزيفة لتحويل أموال من حساب المستخدم الأصلي لهاتف "جالاكسي إس 5" عبر تطبيق خدمة "باي بال"، حيث كانت "سامسونج" قد تعاونت مع خدمة تحويل الأموال عبر الإنترنت لتفعيل المستشعر الخاص بهاتفها الذكي الجديد كبديل لكلمات السر للتحقق من هوية المستخدم.