Experții în securitate spun că au păcălit Face ID de la Apple
Experții în securitate ai companiei chineze Tencent spun că au păcălit Face ID de la Apple folosind o metodă mai puțin obișnuită.
Cercetătorii prezenți la conferința de securitate Black Hat din Las Vegas, SUA, săptămâna trecută, au demonstrat o metodă relativ simplă de a sparge Face ID cât timp cineva este inconștient, scrie gizmodo.com.
Miercurea trecută, o echipă de cercetători ai companiei chineze Tencent au arătat participanților la conferință tehnica care permite păcălirea Face ID, conform Threatpost. Pentru a păcăli protocolul avansat de securitate al Apple, cercetători ar fi avut nevoie doar de lipirea unei benzi adezive negre pe lentile și bucăți mai mici de bandă adezivă albă peste banda adezivă neagră. Aparent, dacă ai fi pus o pereche de ochelari modificați în acest fel pe fața unei persoane inconștiente, ai putea păcăli Face ID să deblocheze telefonul.
Cercetătorii încercau să spargă detecția „vieții” din cadrul procesului biometric care face deosebirea dintre caracteristici umane „false” și „reale”. De obicei, dacă cineva este inconștient, Face ID va detecta asta și nu va reuși să se deschidă, dar această tehnică aparent păcălește această funcție.
Astfel, metoda folosită de cercetători poate păcăli Face ID să creadă că ochii cuiva sunt deschiși, ceea ce înseamnă că ar putea permite hackerilor să acceseze telefonul în timp ce proprietarul acestuia doarme, scrie theverge.com.
Cu toate acestea, este foarte puțin probabil ca acesta să aibă o mare utilizare practică într-un context din lumea reală. Un hacker ar trebui să pună o pereche de ochelari la ochii victimei fără ca aceasta să își dea seama și apoi să țină telefonul în dreptul feței. Ar fi mult mai simplu să oblige persoana să se uite la telefon, cum a făcut un agent FBI anul trecut, mai precizează The Verge.
Doar dacă persoana ar fi inconștientă s-ar putea aplica această metodă.
Descoperirea celor de la Tencent arată cum funcționează cea mai nouă tehnologie de securitate biometrică de la Apple. Cercetătorii și-au dat seama că atunci când un subiect poartă ochelari, Face ID doar încearcă să caute imagini 2D în loc de informații 3D în zona ochilor. Este relativ simplu apoi să falsifici acea informație 2D cu ajutorul unei bande adezive negre cu un punct alb pe ea, pe care Face ID îl identifică greșit drept un ochi deschis. Deoarece restul feței se potrivește înregistrării biometrice, telefonul este deblocat.
Aceasta nu este prima dată când cercetătorii în securitate susțin că au descoperit o vulnerabilitate a Face ID. În 2017, Wired a raportat că firma de cercetare vietnameză Bkav a lansat un video în care arată cum deblochează telefonul cuiva folosind o mască din silicon complicată care avea ochi și buze 2D printate pe hârtie. Această metodă se baza pe accesarea de măsurători detaliate sau o scanare digitală a feței, ceea ce nu este ușor de obținut.
Alți cercetători s-au axat în trecut pe generarea de informații false pentru a păcăli sistemele biometrice. De data aceasta însă, cercetătorii s-au decis să se axeze pe funcția de detecție a vieții care permite utilizatorului să își deblocheze telefonul cu o singură privire, sperând să păcălească funcția prin folosirea feței victimei în timp ce aceasta este inconștientă, scrie threatpost.com.
„Odată cu scurgerea de date biometrice și îmbunătățirea abilității de fraudă AI, detectarea vieții a devenit călcâiul lui Ahile pentru securitatea autentificării biometrice așa cum este să verifici dacă informația biometrică captată este o măsurătoare actuală de la persoana autorizată vie care se află prezentă în momentul capturii”, au spus cercetătorii în cadrul prezentării de la Black Hat 2019.
