Under Black Hat USA-konferansen i Las Vegas demonstrerte forskere en Face ID-bypass-metode som brukte briller og tape for å låse opp og infiltrere iPhone av et 'bevisstløs' offer.
I følge en rapport fra Trusselpost (via iMer ), forsøkte forskere fra Tencent å lure «liveness»-deteksjonsfunksjonen i biometri, som er ment å skille «ekte» fra «falske» funksjoner på mennesker.
Liveness-deteksjon, sa forskerne, oppdager bakgrunnsstøy og responsforvrengning eller fokususkarphet, slik at den kan sørge for at et ansikt er et ekte ansikt og ikke en maske. Denne liveness-deteksjonen brukes av Face ID, og Apple har til og med en 'Attention Aware'-funksjon som sørger for at din iPhone låses ikke opp med mindre du ser på den.
For å lure Face ID, laget forskerne prototypebriller med svart tape på linsene og hvit tape inne i den svarte tapen for å etterligne utseendet til et øye. Da de satte brillene over ansiktet til et sovende offer, fikk de tilgang til iPhone og sende seg penger gjennom en mobil betalingsapp.
Denne metoden fungerte fordi forskerne fant at livlighetsdeteksjon fungerer annerledes med briller og i hovedsak ikke trekker ut 3D-informasjon fra øyeområdet når briller brukes.
De oppdaget at abstraksjonen av øyet for livlighetsdeteksjon gjengir et svart område (øyet) med et hvitt punkt på seg (iris). Og de oppdaget at hvis en bruker bruker briller, endres måten livlighetsdeteksjonen skanner øynene på.
'Etter forskningen vår fant vi svake punkter i FaceID... den lar brukere låse opp mens de bruker briller... hvis du bruker briller, vil den ikke trekke ut 3D-informasjon fra øyeområdet når den gjenkjenner brillene.'
En angriper som prøver å bruke denne metoden i den virkelige verden vil trenge et offer som sover eller er bevisstløs, tilgang til offerets iPhone, og deretter må briller settes over øynene uten å vekke personen. Det er verdt å merke seg at dette ikke er en situasjon de fleste sannsynligvis kommer inn i, og det er heller ingen sekundær forskning på denne påståtte metoden denne gangen.
For å redusere smutthullet for øyedeteksjon i fremtiden, foreslo forskere biometriprodusenter å legge til identitetsautentisering for innfødte kameraer og 'øke vekten av deteksjon av video- og lydsyntese.'
Apple har designet Face ID med lett tilgjengelig deaktiverende tiltak for situasjoner der en person kan bli tvunget eller tvunget til å låse opp en iPhone med ansiktsgjenkjenning. Ved å trykke på dvale/vekke-knappen på en Face ID-aktivert iPhone fem ganger i rask rekkefølge får opp en nød-SOS-skjerm som automatisk deaktiverer Face ID og krever at et passord oppgis før Face ID fungerer igjen. Å trykke og holde inne side-/toppknappen og en volumknapp fungerer også på iPhone og iPad Pro .
Populære Innlegg