Face ID на iPhone можно обмануть очками и изолентой (не синей)



    На конференции Black Hat 2019 в Лас-Вегасе (штат Невада, США) эксперты по безопасности продемонстрировали, как можно достаточно просто обойти систему разблокировки «по лицу» Face ID, применяющуюся в смартфонах Apple, используя своеобразную биометрическую «ахиллесову пяту».

    Оказалось, что обхитрить датчики Face ID несложно: для этого нужно лишь надеть обычные очки, поверх линз которых наклеены большие квадратики из черной изоленты, внутри который наклеены маленькие квадратики из белой изоленты.

    «Ахиллесова пята» была найдена в особенностях работы Face ID, пишет издание ThreatPost.

    Как выяснили эксперты, функция распознавания внимания Attention Detection не сканирует область глаз, когда пользователь находится перед смартфоном в очках.

    Способ обхода Face ID приведен на этом слайде:



    Большие черные квадратики изоленты, налепленные на стекла, имитируют глаза пользователя, маленькие белые кусочки изоленты поверх черных выполняют роль зрачков.

    Таким способом, система биометрической аутентификации Apple вводится в заблуждение.

    Ведь для этой системы создается впечатление, что пользователь устройства находится в сознании и смотрит прямо в камеру.

    Конечно, в реальной ситуации выполнить подобную атаку довольно проблематично, что было признано исследователями на конференции Black Hat 2019, так как для использования этой уязвимости нужно, чтобы был выполнен ряд таких условий:

    • наличие под рукой очков (они должны быть не солнцезащитными), изоленты двух цветов и ножниц;
    • должен быть физический доступ к смартфону;
    • спящий или обездвиженный пользователь, который не заметит, что на него надели очки.

    Таким образом, специалисты по безопасности на конференции Black Hat 2019 хотели показать, что рост распространения и повсеместного использования биометрических систем как для защиты устройств и данных пользователей, так и организаций, будет являться новым вектором атак для злоумышленников. А компании и организации, выпускающие и использующие такие системы должны оперативно и превентивно работать над улучшением и модификациями биометрических систем.

    Ведь любой революционный метод защиты персональных данных, даже близкий к идеальному, можно обойти порой самыми простыми вещами, которые есть под рукой.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 28

      0

      Не понял почему черная изолента за глаза отвечает, а белая за зрачки. Логичнее было бы сделать наоборот, белая изолента — глаза, черная — зрачки. Или фэйс айди не обращает внимание на цвета? Или вообще в каком-нибудь инфракрасном диапазоне работает?

        +1
        Вот тут хорошо видно почему такие цвета
        www.youtube.com/watch?v=g4m6StzUcOw
          0
          В инфракрасном и работает, иначе как через солнцезащитные очки срабатывает.
          +14
          Мне кажется, при наличии обездвиженного пользователя можно вообще любую биометрию обойти. Даже без очков, и даже без дисковой пилы. Для специалистов по безопасности на конференции BlackHat есть ещё много таких тем для докладов)
            0
            Вариантов осложнить биометрию неадекватного пользователя у Apple тоже достаточно — об этом, собственно, и речь.
              +2
              "-… в конце концов с трупа!
              -с чьего трупа?" )))
                0
                С языка сняли…
              +15

              Я правильно понимаю, что это не обход Face ID, а лишь обход опции «требовать внимание». Которая, кстати, у некоторых пользователей и так выключена. А то слишком уж кричащий заголовок получился, не соответствующий сути.

                +10
                — должен быть физический доступ к смартфону;

                — спящий или обездвиженный пользователь, который не заметит, что на него одели очки.

                т.е. задержанный должен находиться в ОВД.

                  +1
                  Клиент должен находиться после двух литров бормотухи портвейна, а где именно — не столь важно. :)
                  –1
                  Извините, что не про iPhone, но вдруг кому интересно. Как только в офисе появился Android с Face ID (Xiaomi Mi 8 Lite), то первым делом было испытано и обнаружено следующее:
                  — разблокировка не срабатывает, если закрыты оба глаза;
                  — разблокировка срабатывает, если закрыт только один глаз;
                  и самое интересное:
                  — разблокировка срабатывает, если человек расслаблен и другой человек пальцами оттягивает вверх ему веки, то есть открывает глаза;
                  — разблокировка срабатывает, если человек расслаблен и другой человек пальцем оттягивает вверх ему веко, то есть открывает только один глаз.
                  Таким образом Face ID от Android проверку на живого человека торжественно проваливает.
                    +5
                    У xiaomi нет модуля FaceID, распознавание выполняется при помощи фронтальной камеры. По-моему, её можно обмануть даже фотографией.
                      +1

                      Нет. Там отдельный датчик. Можно пальцем закрыть камеру — face unlock будет работать.
                      Плюс в темноте видно слабое свечение инфракрасной подсветки.

                        0
                        Закрыл камеру пальцем, ничего не разблокируется.
                          0

                          Видимо, модели телефонов таки разные. У меня просто Mi 8, не Lite и не SE.

                            +5
                            Пишут что у Mi8 IR camera работает в темноте. А на свету обычная.
                            К тому же для FaceId нужен проектор, которого у вас нет. Это шляпа а не FaceId.
                        +5
                        Я собственноручно разблокировал Xiaomi mi 8 se с помощью фотографии лица владельца на моем телефоне. С согласия самого владельца, разумеется. Из пяти попыток 2-3 раза срабатывает железно. Было забавно :)
                          0

                          У меня Asus Zenfone Max Pro M1 (блин, зачем такие длинные названия?) без всяких дополнительных датчиков. Пытался разблокировать по фотографии лица на мониторе, не вышло. Хотя должно, по-идее.

                            0
                            У меня такой же телефон. Разблокировал фотографией с первой же попытки.
                              0
                              Можно предположить что результат от фотогеничности пациента зависит. Только непонятно пока в чем зависимость выражена :)
                          +2
                          Таким образом Face ID от Android проверку на живого человека торжественно проваливает.

                          Беспокоюсь за человека, которому оттягивали веки. Он жив? С ним всё в порядке?

                            +6
                            Изначально это и не был тест на «мёртвого человека», это был тест на «ревнивая жена желает порыться в телефоне вусмерть пьяного мужа». Подопытный сам был заинтересован узнать, насколько можно доверять своему смартфону, потому подыгрывал, как мог. )
                              0
                              Громко икал и пытался отползти?
                          0
                          Пока что биометрия не нравится мне в силу того, что некий «Корчагин» может быть выдержит пытки и не сообщит код.
                          А вот вырубить «Корчагина» и использовать его тушку для прохода биометрии, вполне можно.
                            0
                            У пин-кодов и графических ключей есть дырень — их не сложно подглядеть. И не надо доводить до пыток — вы за день 20-50 раз снимаете блокировку со смартфона.
                            Да, если у некого злодея не было времени на предварительные мероприятия и он не подглядел за жертвой из-за плеча или через камеру видеонаблюдения, то задача усложняется, но в иных вариантах упрощается кратно.
                            Светя пин-кодом десятки раз в день, пользователь превращает надежную дверь в ширмочку. По той же причине оплата картой без пин-кода в магазине в целом безопаснее, чем на каждой мелкой операции вводить ключ от квартиры, где деньги лежат.
                              0
                              Длительно незаметно наблюдать за потенциальной жертвой в разных местах, это целый комплекс мероприятий. А зайти к нему домой, или увезти, к примеру и там уже совершать манипуляции с его тушкой, это быстро и разово (вспоминаю рэкетиров 90-х).
                                0

                                Ну если люди пойдут на такое, то им не составит труда быстренько провести терморектальный криптоанализ вашего пин кода.

                                  0
                                  некий «Корчагин» может быть выдержит пытки и не сообщит код.

                                  А в случае с биометрией даже такого шанса не будет.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое