Tape, briller giver forskere mulighed for at omgå Face ID

I september 2018, en tech-watcher var beundringsværdigt ærlig:Hvis du er en normal person, Apple FaceID er grundlæggende sikkert, hun sagde. Men så denne tech-watcher, Rachel Kraus, skrev ind Mashable at "da jeg opjusterede argumenterne for og imod, Jeg er modvilligt nået til den konklusion, at min frygt for Face ID bare er den teensiesste smule irrationel...Men ingen måde i helvede betyder det, at jeg kommer til at bruge det."

Hun var udmærket klar over de pluspunkter, der fik Apple- og Apple-fans til at holde op, men hun indrømmede, at hun ikke kunne rokke sig. "Face ID kan være praktisk, og er sandsynligvis sikker...Men når det kommer til at beskytte vores telefoner, vores identiteter, og vores liv, er nok bare ikke godt nok."

I 2019, du finder stadig tøvende mennesker, der spekulerer på, om den nye teknologi vil skabe øget sikkerhed eller et nyt angreb, der åbner, og Tencent-forskere finder grund til at tænke lidt sværere over det.

Ved Black Hat U.S. 2019-sikkerhedsbegivenheden tidligere på måneden, forskerne vakte interesse for deres session "Biometric Authentication Under Threat:Liveness Detection Hacking."

Som en del af deres diskussion, de sagde, de vil "introducere vores arsenal af angribende liveness-detektion og vise, hvordan man anvender dem til at omgå flere off-the-shelf biometriske autentificeringsprodukter, inklusive 2-D/3-D ansigtsgodkendelse og stemmeaftryksgodkendelse."

Forskerne viste, hvordan man bruger briller og tape til at omgå Apple FaceID.

Tencents succes var afhængig af at stikke ind i en biometrisk funktion kaldet liveness-detektion. Trusselpost rapporterede om, hvad Tencent-værterne havde at sige:

"Med lækagen af ​​biometriske data og forbedringen af ​​AI-bedrageri, Liveness-detektion er blevet akilleshælen for biometrisk autentificeringssikkerhed, da det er at verificere, om den biometriske, der fanges, er en faktisk måling fra den autoriserede levende person, der er til stede på fangetidspunktet."

Sort tape blev sat på linserne, og hvid tape inde i den sorte tape. "Ved at bruge dette trick var de så i stand til at låse et offers mobiltelefon op og derefter overføre hans penge via mobilbetalingsappen ved at placere de tape-fastsatte briller over det sovende offers ansigt for at omgå opmærksomhedsdetektionsmekanismen i både FaceID og andre lignende teknologier, " sagde Lindsey O'Donnell, Trusselpost .

O'Donnell, imidlertid, sagde, at der kun var én ting, hvis du troede, at dette var en let kapers:Det rigtige offer skulle være kold. Kold, som i ubevidst. Som i at den dårlige skuespiller skal tage brillerne på personen uden at vække personen. ("Det er i hvert fald lidt sværere end at bruge en sovende persons finger til at låse Touch ID op, " sagde Gizmodo 's Jennings Brown.)

Hvad sker der? Hvorfor mistede FaceID sin magt? O'Donnell sagde, "abstraktionen af ​​øjet til livlighedsdetektion gengiver et sort område (øjet) med et hvidt punkt på det (iris)." Imidlertid, hvis en bruger bærer briller, den måde, hvorpå livlighedsdetektion scanner øjnene, ændres. Hvis en person bærer briller, FaceID udtrækker ikke 3D-information fra øjenområdet, når det genkender brillerne.

Råd fra Tencent-oplægsholdere var, at biometriproducenter tilføjer identitetsgodkendelse til native kameraer og øger vægten af ​​video- og lydsyntese-detektion, sagde O'Donnell.

Æble, i mellemtiden, leverer sin egen historie om FaceID på sit websted, og det er rimeligt at antage, at sikkerheden har fået høj prioritet:

"Sandsynligheden for, at en tilfældig person i befolkningen kan se på din iPhone eller iPad Pro og låse den op ved hjælp af Face ID er cirka 1 ud af 1, 000, 000 med en enkelt tilmeldt optræden, " ifølge sin "Om FaceID avanceret teknologi"-side.

Som ekstra beskyttelse, kun fem mislykkede kampforsøg er tilladt af FacedD—og så er en adgangskode påkrævet. "Den statistiske sandsynlighed er forskellig for tvillinger og søskende, der ligner dig og blandt børn under 13 år, fordi deres distinkte ansigtstræk måske ikke er fuldt udviklet. Hvis du er bekymret over dette, vi anbefaler at bruge en adgangskode til at godkende."

Ikke desto mindre, Tencent udforskede og rapporterede deres resultater. "Face ID fungerer anderledes, hvis det registrerer briller. Når systemet genkender briller, det trækker tilsyneladende ikke information fra øjenområdet i ansigtet, " sagde Gizmodo 's Jennings Brown.

TNW var enige, rapportering, "Godt, det viser sig, at FaceID scanner øjne anderledes, når folk bruger briller. TNW citerede forskerne:"Vi fandt svage punkter i FaceID." Hvor? "Det giver brugerne mulighed for at låse op, mens de bærer briller […] hvis du har briller på, den vil ikke udtrække 3D-information fra øjenområdet, når den genkender brillerne."

En rimelig takeaway er, at rammerne for, at denne bedrift fungerer, er intet mindre end bizar. 9to5Mac :"For at låse en anden persons telefon op, du skulle tilsyneladende finde ud af, hvordan du sætter briller på dem og sikre, at de stadig var nok til, at Face ID kunne fungere. Som forskerne bemærker, dette ville være mest effektivt, når offeret er bevidstløs."

Juli Clover, MacRygter , rejste et andet punkt:"Det er værd at bemærke, at dette ikke er en situation, de fleste mennesker sandsynligvis vil løbe ind i, og der er heller ingen sekundær forskning om denne påståede metode denne gang."

En læser kommenterer på MacRygter :"Dette er lidt af en rækkevidde. Jeg tror, ​​at Face ID at lade sig narre af sådan en latterlig omstændighed bare viser, hvor hårdt de har prøvet at 'bryde' det —"

På den anden side, forskningen viser svagheder bag designet af liveness-detektion.

© 2019 Science X Network