iphone X - smartfon i pudełko
71

To kolejny cios dla iPhone’a X i Face ID. Wystarczyło zbudować maskę

Żeby być z Wami całkowicie w porządku - maska, której użyto do złamania Face ID nie była "zwyczajna". Zaangażowanie ekspertów z Bkav wymagało wiele pracy i wysiłków, by spowodować, że mechanizm uwierzytelniania twarzą w iPhone'ie X ostatecznie poległ. Po raz kolejny udało się udowodnić, że ten sposób logowania wcale nie jest tak "idealny", jak to przedstawiano podczas premierowej konferencji Apple.

Przypomnijmy sobie. Phil Schiller w trakcie konferencji premierowej telefonu iPhone X twierdził, iż Face ID dzięki sztucznej inteligencji oraz sieciom neuronowym będzie w stanie odróżnić prawdziwą twarz od maski. Co więcej, deklarowano współpracę z makijażystami z Hollywood nad modelami, które pozwalają mechanizmom zabezpieczającym na rozpoznanie próby fałszywego zalogowania twarzą. O ile w trakcie konferencji Face ID wydawało się „nie do złamania”, po raz kolejny świat nie ma dla Apple dobrych wiadomości. Modele trzeba będzie zaktualizować i odpowiednio je wzmocnić, bowiem udało się stworzyć maskę, która świetnie radzi sobie z zabezpieczeniami.

Face ID złamane, ale zachodu było co nie miara…

Dobry atak powinien nie tylko prowadzić do zamierzonego sobie celu, ale również być prosty w przygotowaniu. O dokonaniach firmy Bkav tego powiedzieć nie można. O ile Face ID poległo w konfrontacji ze specjalnie przygotowaną maską, nie wyobrażam sobie, żeby ktokolwiek prowadził takie działania na szeroką skalę.

Już wcześniej próbowano pobić Face ID za pomocą masek – te, mimo świetnego odwzorowania ludzkich twarzy zawodziły. Wszystko to dlatego, że za zabezpieczeniami rzeczywiście stoi sztuczna inteligencja – nikt jednak dotąd nie próbował analizować tego, w jaki sposób ona działa. Bez odpowiedniej wiedzy w tym kierunku złamanie mechanizmu byłoby niemożliwe, dlatego eksperci zaczęli od poznania zasad, jakimi kieruje się Face ID.

Okazało się jednak, że sprawa nie jest tak trudna, jak się wydaje. Eksperci szybko zauważyli, że nawet gdy w obiektywie pojawi się tylko połowa twarzy uprawnionego użytkownika, Face ID „przepuści” go dalej. To zaś stanowiło dla Bkav bardzo dobrą wiadomość – Apple zbyt mocno zawierza sztucznej inteligencji i można to wykorzystać przeciwko iPhone’owi X.

Pobrano trójwymiarowe skany twarzy, którą powiązano z Face ID w telefonie iPhone X, a następnie wykonano kilka trójwymiarowych elementów maski i połączono je ze sobą. Do tej operacji wykorzystano pospolitą drukarkę 3D – taką, która jest dostępna również dla zwykłych konsumentów. Nosem natomiast zajął się artysta, który własnoręcznie odwzorował kształty narządu. Dla różnych części fałszywej twarzy zastosowano różne cieniowania, by wzmocnić efekt trójwymiarowości – wszystko to dlatego, że Face ID analizuje również takie czynniki.

Ekspertom udało się oszukać Face ID. Czy to oznacza, że właściciele iPhone’ów X są zagrożeni?

Zdecydowanie nie należy tak sądzić. Sztuczna inteligencja stojąca za Face ID świetnie radzi sobie z większością ataków wykorzystujących maski – poległa dopiero wtedy, gdy wytoczono wobec niej naprawdę poważne działa. To jak wspomnieliśmy wymaga naprawdę sporych nakładów pracy i co ważne – zrozumienia jak Face ID w ogóle działa. To w dalszym ciągu bardzo wygodna i relatywnie bezpieczna metoda uwierzytelniania. Niemniej, nie jest ona wolna od wad.

O ile zwykli konsumenci nie mają się czego obawiać, tak już pewna wąska grupa osób nie powinna z Face ID korzystać. Mowa tutaj o osobach, których dane (albo pieniądze) mogłyby być warte przeprowadzenia takiego ataku. Biorąc pod uwagę, że koszt samej maski to około 150 dolarów, a trzeba jeszcze mieć odpowiednie zaplecze ekspertów, złośliwe wykorzystanie Face ID będzie stanowiło margines wśród ogółu ataków.

Eksperci z Bkav twierdzą, że nie ma lepszego zabezpieczenia biometrycznego niż… odcisk palca

Jest bezproblemowy, szybki, tani w implementacji, choć wcale nie jest najbezpieczniejszy. Warto wiedzieć, że nawet skanery tęczówki oka można oszukać i wcale nie jest to takie trudne, jakby się mogło to wydawać. Pewne jest jedno – aby przeprowadzić udany atak na dane biometryczne, trzeba się nieco natrudzić. W dalszym ciągu standardowe hasła oraz dwuskładnikowe uwierzytelnianie są zdecydowanie najtrudniejsze do złamania przez cyberprzestępców.

Osobiście uważam, że Apple nie postąpiło zbyt roztropnie rozstając się w iPhone’ie X z Touch ID, które w telefonach tego producenta działało naprawdę dobrze. Takie rozwiązanie jest przede wszystkim wygodne i… po prostu tanie. Zaprzęgnięcie do pracy sztucznej inteligencje, wyspecjalizowane komponenty – skanery oraz odpowiednie oprogramowanie swoje kosztują.

  • Robert Patryk Krasoń

    Tytuł to typowy clickbait ech

    • Jak to wpisuje się w definicję clickbaitu?

    • Patryk

      „Wystarczyło zbudować maskę”. Taaa, jakby każdy po pracy w wolnych chwilach sobie maski robił XD.

    • Matt

      Tytuł nie jest clickbaitowy. Jest nieprawdą biorąc pod uwagę ten filmik, który jest fejkiem.

    • Prosimy o dowód, że to fejk. ;)

    • Matt

      j.w. gdzie animacja kłódki?

    • Adi

      Tu masz wyjaśnioną zagadkę kłódki (od 1:08) – ten film to nie fejk: https://youtu.be/b592oPqBLR8?t=1m8s

    • Szemot

      Jak na razie to pokazałeś filmik w którym widać, że odblokowywany jest iPhone z zamknięta kłódką co nie jest możliwe jeśli to nie fejk. nieprawdaż? ;-)

    • kaliente

      Gdzie animacja kłódki?
      Gdzie ustawienia telefonu i potwierdzenie ze attention awareness jest włączone (domyślne ustawienie)?
      To wideo jest albo fejkiem albo jest bardzo zle udokumentowane. Wstyd by mi było się podpisać pod czymś co nie ma logicznej całości.

    • Koteu Kottowsky

      Jak większość tytułów na tej stronie… Najgorsze, że autorzy dobrze o tym wiedzą, ale próbują się nieudolnie bronić… Żenada i robienie z czytelnika idioty.

    • Tech-Floyd :)

      „Żenada i robienie z czytelnika idioty” – sam już z siebie robisz na każdym kroku.

  • cYk

    Powiedz mi o Bane’ie! Dlaczego nosi maske?!

  • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

    Tak jak pisałem jakiś czas temu. Wystarczy dobra maska :) Oczywiście nie będzie się opłacać robić taką maskę dla byle kogo. Ale jak ktoś bardzo chce wykraść dane to na podstawie zdjęć przygotuje maskę i wystarczy podpierdzielić telefon.

    • bobok

      A nie łatwiej jest po prostu chwycić delikwenta i odblokować na nim telefon?

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Oczy muszą być otwarte. Z tym może być problem.

    • Szemot

      Nie, nie wystarczy maska. Robiono już fajne maski i wciąż nie działało. Dlatego, że jest pewna funkcja któa zapobiega odblokowaniu maską która się nazywa wzmozona uwaga. Innymi słowy musisz patrzeć na iPhona by go odblokować a on wie czy to oczy czy tępe patrzenie, np z otwartymi oczami podczas snu. Opcja ta jest domyślnie włączona i bez niej być może zadziała. Tak czy owak trzeba aktywnie ją wyłączyć co zrobili autorzy filmiku z maską.

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Yyy, robisz w masce otwor na oczy i masz prawdziwe oczy. Przecież o takiej ciągle rozmawiamy.

    • Szemot

      Właśnie to już testowano na kilku filmach gdzie robiono nawet dobre maski i nie przeszło.

  • Matt

    Ten filmik śmierdzi fejkiem. Gdy odblokowujesz iphone x, jest animacja kłódki. Na ich filmiku NIE MA ANIMACJI. A wszyscy łykają jak pelikany.

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Czyli sugerujesz ze zhackowali iphone x? To chyba jeszcze gorzej xD

    • Musimy Cię wyprowadzić z błędu, to nie jest fejk. ;)

    • Matt

      gdzie animacja kłódki?

  • EL Wu

    współpracę z makijażystami z Hollywood?

  • SmackThat

    Idealne rozwiązanie jest tylko jedno:
    Skaner twarzy, skaner tęczówki i skaner linii papilarnych w jednym daje 100% gwarancję bezpieczeństwa.
    Dotykasz ekranu i spoglądasz na niego, a urządzenia odpowiedzialne za odblokowanie robią to wszystko razem w mgnieniu oka :-) Oczywiście jednocześnie, w takim wypadku nie ma możliwości podrobienia tych trzech części ciała jednocześnie.

    • Wieloskładnikowe uwierzytelnianie w pełnej krasie. :)

    • YY

      A potem czekasz 5 minut, aż ci się telefon odblokuje:)

    • cYk

      jak w Samsungach :^)

    • Maks Cavallera

      Nie wiem jakiego Samsunga używałeś,, ale współczuję Ci.

    • SmackThat

      Da się zrobić, żeby działało to bardzo szybko. Jednak nikt nie zastosuje 3w1 ze względu na dość spore koszty samych komponentów to uwierzytelniania właściciela danego urządzenia.

    • YY

      główne zastrzeżenia mam do skanera tęczówki

    • SmackThat

      Nie mam na myśli samego skanera tęczówki tylko między innymi skanera tęczówki :-)

    • YY

      ale to ten najwolniejszy element

    • SmackThat

      Myślę, że da się go przyspieszyć

    • bobok

      Nie daje, bo póki co łamanie zabezpieczeń to bardziej sztuka dla sztuki niż realne zagrożenie bezpieczeństwa.
      Jeśli ktoś jest w stanie zrobić Twoją maskę, to ma dostęp do Twojej twarzy, tęczówki i odcisku palca. Jeśli zmusił Cię do zrobienia skanu twarzy, to myślisz, że nie dałby rady ściągnąć odcisku palca i skanu tęczówki z Twojego Ciała?

    • Piotr Nowak

      Nie ma idealnych rozwiazań i nic nie daje gwarancji bezpieczeństwa, np. w tym wypadku wystarczy odblokowanie urządzenia za pomocą grożenia bejsbolem (byłemu) właścicielowi – wystarczy być kibolem by dać radę „złamać” to zabezpieczenie ;) Oczywiście w takim wypadku nie ma sensu podrabianie żadnych części ciała :D

  • YY

    Jeśli to ma być kolejny argument za umieszczeniem Touch ID z tyłu telefonu, to niech go sobie eksperci wsadzą w dupę:)
    Touch ID zintegrowany z ekranem, albo wcale!

    I czy czasem nie wystarczy zablokować dostęp do trójwymiarowych skanów, tak by nie można ich było pobrać z iPhone X?
    Wtedy nie będzie się dało wykonać dokładnej maski…

    • kaliente

      Nie ma dostępu do skanów 3D twarzy bo takowych nie ma nawet na urządzeniu. Wszelakie dane biometryczne są przechowywane na kawałku krzemu, ktory jest odseparowany od systemu operacyjnego.
      Jeśli nie wiesz do kogo należy telefon, to nie zrobisz maski nawet.

      PS:
      TouchID to przeżytek, FaceID dla mnie jest o wiele wygodniejsze.

    • maxprzemo

      „Nie ma dostępu do skanów 3D twarzy bo takowych nie ma nawet na urządzeniu”
      To gdzie są wirują w kosmosie?
      Marzenia upadły, wracamy na ziemię. Face ID złamane.

    • Olo

      Skanów nie ma na urządzeniu. Są modele matematyczne stworzone na ich podstawie. I tak działa to w jedna stronę tzn. nie odtworzysz skanu z modelu.

      Apple to nie HTC, żeby przechowywać skany w png.

    • kaliente

      Ty wróć na ziemie i się doucz, polecam.

    • maxprzemo
    • YY

      ooo… to jak oni te skany twarzy wyciągnęli z iPhona?

    • kaliente

      Nie wyciągnęli. Zgaduje ze zarejestrowali maskę w FaceID.

    • YY

      No jak? To co to niby za złamanie zabezpieczeń?
      Ja szympansa w zoo zarejestruję i też się będę śmiał, że małpi ryj odblokuje iPhona:)

    • kaliente

      No jak widzisz z rzetelnością tego materiału jest kiepsko. Oni nie wyciągnęli modelu z telefonu, tylko mieli do dyspozycji człowieka i jego twarz sklonowali do maski. Nikomu się jeszcze nie udało wyciągnięcie danych biometrycznych z iPhona.

    • YY

      Jak mogą twarz człowieka sklonować do maski, to nie prościej przystawić mu telefon do ryja i uszczypnąć, żeby otworzył oczy? :)

    • kaliente

      Musi patrzeć wprost na telefon, wiec nie ;)

    • YY

      To mu każą to zrobić pod groźbą pobicia czy coś:) w końcu muszą go porwać, by móc zrobić odcisk jego twarzy.

    • Emiel Rohelec

      Mysle ze bardziej wypadaloby powiedziec – FaceId BEDZIE wygodniejsze, jak zostanie odpowiednio uzyte przez producentow oprogramowania, a urzadzenia, ktore je wspieraja beda wystepowaly w ilosci wiekszej niz jedno ;) Na dzien dzisiejszy touchid jest wygodniejsze, bo… mam je w kieszeni. A touchid nie mam:)

    • kaliente

      W odróżnieniu od ciebie używam X od tygodnia, wiec wiem co jest wygodniejsze. Wcześniej miałem iPhona 7.

    • Tomk

      Zgadza się, wczesnej podchodziłem do tego z dystansem, ale po użytkowaniu działa bardzo dobrze i wygodnie.

    • Emiel Rohelec

      W odroznieniu od ciebie, nie mowie o sobie, ale o ogolnej sytuacji. FaceID bedzie wygodniejsze, dopiero, kiedy pula uzytkownikow wzrosnie na tyle, by pojawilo sie sensowne wsparcie. Poki co, za wygodniejsze nie uznaje rozwiazania, ktore wymaga wymianu telefonu na jeden jedyny model.

    • kaliente

      No wlasnie na odwrót. Ja miałem w kieszeni i jedno i drugie. Ty miałeś tylko jedno, wiec nie ma w tym za grosz logiki. Nie masz punktu odniesienia.
      To, ze Twój telefon ma wyłącznie czytnik nie jest dowodem na to, ze FaceID jest gorsze. Bezsens.

    • Emiel Rohelec

      A w ktorym miejscu napisalem ze jest gorsze? Napisalem wyraznie ze BEDZIE lepsze, jak BEDZIE mialo baze uzytkownikow i urzadzen. na te chwile jeszcze nie jest, bo nie moge go miec w urzadzeniu, ktore by mnie potencjalnie interesowalo (mniejsze).

    • kaliente

      Nadal, rozwiązania nie są dobre przez ilość osób, które go używają, tylko mierzalne zalety względem innych rozwiązań.
      Procesor A11 Bionic też będzie lepszy od innych, gdy zacznie być szerzej używany? Nie. Jest najlepszy nawet jeśli Apple zamontowałoby go w jednym egzemplarzu iPhona, który znajdowałby się w gablotce.

    • Emiel Rohelec

      Ale sa mierzone przez ilosc wyzeczen, ktore za nimi idzie. Aktualnie by miec faceid musialbym kupic telefon, ktory nijak mi sie nie podoba gabarytowo, lub wizualnie. Jest za duzy i nie ma ramek. O ile brak ramek jeszcze zniose, to jego rozmiar jest zdecydowanie nie do przyjecia. Na dzien dzisiejszy faceid jest obietnica fajnego rozwiazania. Niczym wiecej. By je miec, musialbym miec telefon, ktorego nie chce. To samo moga powiedziec fani 8 +, 7+ i innych kobyl.

  • kaliente

    Tytuł to ultimate clickbait, brawo.
    Nigdzie nie ma pokazane, ze ten telefon został skonfigurowany z żywym człowiekiem i odblokowany maską. Nie widać animacji kłódki. Generalnie mocno naciągane.
    Nie mam watpliwości, że FaceID w końcu zostanie złamane tak samo jak TouchID. Ten filmik jednak tego dla mnie nie pokazuje.

    • Amożenie

      Face ID działa tylko z jedną osobą (nie można skonfigurować kilku twarzy, tak jak kilka palców w Touch ID). Skoro ten człowiek, który to prezentował odblokował swoja twarzą, a następnie maską, to jakby nie patrzeć doszło do odblokowania telefonu dwoma twarzami.

    • Olo

      Problem polega na tym, że odblokował kodem z maską przed telefonem. Co oznacza, że telefon dodał skan maski do modelu twarzy.

    • Mac Kowal

      Przecież Amożenie ma rację. Jeżeli Face ID (o ile filmik to nie ściema) zadziałałoby prawidłowo, to odblokowałoby maskę, ale jak później typek pokazuje swoją twarz to nie odblokowałoby. No i odwrotnie jest analogicznie. Wniosek jest jeden – prawdziwa twarz i maska zostały przez Face ID uznane za to samo.

    • kaliente

      Nadal nie wiemy jakie były ustawienia i czy faktycznie maska odblokowała telefon, bo widać tam dziwne zachowanie animacji systemowej.
      Wszystko to śmierdzi albo jest złe udokumentowane.

    • kaliente

      Nadal na filmie nie ma animacji odblokowywania telefonu wypadku maski. Koleś robi swipe up a telefon jakby nie miał blokady. To jest dziwne.
      Nie wiemy czy attention awareness było włączone, mogę się założyć ze nie. Maska nie ma ruchomych gałek ocznych.

    • Adi

      Oglądnij ten filmik, tu jest wszystko wyjaśnione nt. kłódki: https://youtu.be/b592oPqBLR8?t=1m8s

    • kaliente

      Super, szkoda jeszcze ze nie po chinsku.
      Kolejne wywody chłopka-roztropka. Ja chce po prostu rzetelnego materiału, gdzie robia profesjonalna maske i wprost do kamery pokazuja jak to działa. Analize sam sobie moge zrobic.

  • Tech-Floyd :)

    Taka sama afera ze skanerem tęczówki. Wszystko jest do złamania, tylko gdyby mi ktoś ukradł telefon, to zanim zdążyłby zrobić to wszystko, już by siedział…
    Prędzej mi ktoś na ulicy rekę odrąbie niż zhakuje mi takie zabezpieczenie…

  • ahhhhahahaha

    Bahhhhhhahahhhhhahaha
    I to tyle na temat zabezpieczen tego szrotu…
    Tylko po co komu selfie jakiegos pedala w rurkach…

  • 👩 Jagoda Korwin-Cieszyńska

    Taki wielki cios, że zwiększają produkcję iPhone X bo popyt znacznie przewyższył podaż.

    I to pomimo chorej wyceny.

  • naros

    Ja tam blokadom o dane biometryczne (face id, odcisk itd) nie ufam, a będąc precyzyjnym firmom i bezpieczeństwu gromadzenia takich danych. Jak długo będzie to możliwe to zostaję przy zwykłym haśle i normalnym uważaniu na swój telefon.

  • Daniel

    Pokażesz nam czy konfigurowani twarz czy maskę jako „twarz”? „Pobrano trójwymiarowe skany twarzy, którą powiązano z Face ID w telefonie iPhone X” i to taki banał przecież… ktoś chce odblokować mój telefon za pomocą maski ale najpierw musi mieć go odblokowane żeby pobrać skan mojej twarzy, fucking logic…