iphone X - smartfon i pudełko
71

To kolejny cios dla iPhone’a X i Face ID. Wystarczyło zbudować maskę

Żeby być z Wami całkowicie w porządku - maska, której użyto do złamania Face ID nie była "zwyczajna". Zaangażowanie ekspertów z Bkav wymagało wiele pracy i wysiłków, by spowodować, że mechanizm uwierzytelniania twarzą w iPhone'ie X ostatecznie poległ. Po raz kolejny udało się udowodnić, że ten sposób logowania wcale nie jest tak "idealny", jak to przedstawiano podczas premierowej konferencji Apple.

Przypomnijmy sobie. Phil Schiller w trakcie konferencji premierowej telefonu iPhone X twierdził, iż Face ID dzięki sztucznej inteligencji oraz sieciom neuronowym będzie w stanie odróżnić prawdziwą twarz od maski. Co więcej, deklarowano współpracę z makijażystami z Hollywood nad modelami, które pozwalają mechanizmom zabezpieczającym na rozpoznanie próby fałszywego zalogowania twarzą. O ile w trakcie konferencji Face ID wydawało się „nie do złamania”, po raz kolejny świat nie ma dla Apple dobrych wiadomości. Modele trzeba będzie zaktualizować i odpowiednio je wzmocnić, bowiem udało się stworzyć maskę, która świetnie radzi sobie z zabezpieczeniami.

Face ID złamane, ale zachodu było co nie miara…

Dobry atak powinien nie tylko prowadzić do zamierzonego sobie celu, ale również być prosty w przygotowaniu. O dokonaniach firmy Bkav tego powiedzieć nie można. O ile Face ID poległo w konfrontacji ze specjalnie przygotowaną maską, nie wyobrażam sobie, żeby ktokolwiek prowadził takie działania na szeroką skalę.

Już wcześniej próbowano pobić Face ID za pomocą masek – te, mimo świetnego odwzorowania ludzkich twarzy zawodziły. Wszystko to dlatego, że za zabezpieczeniami rzeczywiście stoi sztuczna inteligencja – nikt jednak dotąd nie próbował analizować tego, w jaki sposób ona działa. Bez odpowiedniej wiedzy w tym kierunku złamanie mechanizmu byłoby niemożliwe, dlatego eksperci zaczęli od poznania zasad, jakimi kieruje się Face ID.

Okazało się jednak, że sprawa nie jest tak trudna, jak się wydaje. Eksperci szybko zauważyli, że nawet gdy w obiektywie pojawi się tylko połowa twarzy uprawnionego użytkownika, Face ID „przepuści” go dalej. To zaś stanowiło dla Bkav bardzo dobrą wiadomość – Apple zbyt mocno zawierza sztucznej inteligencji i można to wykorzystać przeciwko iPhone’owi X.

Pobrano trójwymiarowe skany twarzy, którą powiązano z Face ID w telefonie iPhone X, a następnie wykonano kilka trójwymiarowych elementów maski i połączono je ze sobą. Do tej operacji wykorzystano pospolitą drukarkę 3D – taką, która jest dostępna również dla zwykłych konsumentów. Nosem natomiast zajął się artysta, który własnoręcznie odwzorował kształty narządu. Dla różnych części fałszywej twarzy zastosowano różne cieniowania, by wzmocnić efekt trójwymiarowości – wszystko to dlatego, że Face ID analizuje również takie czynniki.

Ekspertom udało się oszukać Face ID. Czy to oznacza, że właściciele iPhone’ów X są zagrożeni?

Zdecydowanie nie należy tak sądzić. Sztuczna inteligencja stojąca za Face ID świetnie radzi sobie z większością ataków wykorzystujących maski – poległa dopiero wtedy, gdy wytoczono wobec niej naprawdę poważne działa. To jak wspomnieliśmy wymaga naprawdę sporych nakładów pracy i co ważne – zrozumienia jak Face ID w ogóle działa. To w dalszym ciągu bardzo wygodna i relatywnie bezpieczna metoda uwierzytelniania. Niemniej, nie jest ona wolna od wad.

O ile zwykli konsumenci nie mają się czego obawiać, tak już pewna wąska grupa osób nie powinna z Face ID korzystać. Mowa tutaj o osobach, których dane (albo pieniądze) mogłyby być warte przeprowadzenia takiego ataku. Biorąc pod uwagę, że koszt samej maski to około 150 dolarów, a trzeba jeszcze mieć odpowiednie zaplecze ekspertów, złośliwe wykorzystanie Face ID będzie stanowiło margines wśród ogółu ataków.

Eksperci z Bkav twierdzą, że nie ma lepszego zabezpieczenia biometrycznego niż… odcisk palca

Jest bezproblemowy, szybki, tani w implementacji, choć wcale nie jest najbezpieczniejszy. Warto wiedzieć, że nawet skanery tęczówki oka można oszukać i wcale nie jest to takie trudne, jakby się mogło to wydawać. Pewne jest jedno – aby przeprowadzić udany atak na dane biometryczne, trzeba się nieco natrudzić. W dalszym ciągu standardowe hasła oraz dwuskładnikowe uwierzytelnianie są zdecydowanie najtrudniejsze do złamania przez cyberprzestępców.

Osobiście uważam, że Apple nie postąpiło zbyt roztropnie rozstając się w iPhone’ie X z Touch ID, które w telefonach tego producenta działało naprawdę dobrze. Takie rozwiązanie jest przede wszystkim wygodne i… po prostu tanie. Zaprzęgnięcie do pracy sztucznej inteligencje, wyspecjalizowane komponenty – skanery oraz odpowiednie oprogramowanie swoje kosztują.