На конференции Black Hat USA в Лас-Вегасе исследователи продемонстрировали метод обхода Face ID, который с помощью очков и скотча позволял разблокировать и получить доступ к iPhone «бессознательной» жертвы.
Согласно отчету Threatpost (через iMore), исследователи из Tencent стремились обмануть функцию обнаружения «живости» в биометрии, которая предназначена для различения «реальных» и «фальшивых» черт лица.
Обнаружение «живости», по словам исследователей, распознает фоновый шум и искажения изображения или размытие фокуса, что позволяет убедиться, что лицо настоящее, а не маска. Эта функция обнаружения «живости» используется Face ID, и у Apple даже есть функция «Внимание осознанно», которая гарантирует, что ваш iPhone не разблокируется, если вы не смотрите на него.
Чтобы обмануть Face ID, исследователи создали прототип очков с черным скотчем на линзах и белым скотчем внутри черного скотча, чтобы имитировать вид глаза. Надев очки на лицо спящей жертвы, они смогли получить доступ к его iPhone и отправить себе деньги через приложение мобильного платежа.
Этот метод сработал, потому что исследователи обнаружили, что обнаружение «живости» работает по-другому с очками и, по сути, не извлекает 3D-информацию из области глаз при ношении очков.
Они обнаружили, что абстракция глаза для обнаружения «живости» представляет собой черную область (глаз) с белой точкой на ней (радужная оболочка). И они обнаружили, что если пользователь носит очки, способ сканирования глаз при обнаружении «живости» изменяется.
«После нашего исследования мы обнаружили слабые места в FaceID… он позволяет пользователям разблокировать устройство, когда они носят очки… если вы носите очки, 3D-информация из области глаз не будет извлекаться при распознавании очков».
Злоумышленнику, пытающемуся использовать этот метод в реальном мире, потребуется спящая или бессознательная жертва, доступ к iPhone этой жертвы, а затем очки, которые нужно надеть на глаза, не разбудив человека. Стоит отметить, что такая ситуация маловероятна для большинства людей, и в настоящее время также отсутствуют вторичные исследования этого предполагаемого метода.
Для устранения лазейки в обнаружении глаз в будущем исследователи предложили производителям биометрических систем добавить аутентификацию личности для нативных камер и «увеличить вес обнаружения видео- и аудиосинтеза».
Apple разработала Face ID с простыми мерами отключения для ситуаций, когда человека могут принудить или заставить разблокировать iPhone с помощью распознавания лиц. Пятикратное быстрое нажатие кнопки сна/блокировки на iPhone с поддержкой Face ID вызывает экран экстренного вызова SOS, который автоматически отключает Face ID и требует ввода пароля перед повторной активацией Face ID. Нажатие и удержание боковой/верхней кнопки и кнопки регулировки громкости также работает на iPhone и iPad Pro.
