Tijdens de Black Hat USA-conferentie in Las Vegas demonstreerden onderzoekers een Face ID-bypassmethode waarbij een bril en tape werden gebruikt om de iPhone van een 'bewusteloos' slachtoffer.
Volgens een rapport van Dreigingspost (via ik meer ), probeerden onderzoekers van Tencent de 'liveness'-detectiefunctie in biometrie voor de gek te houden, die bedoeld is om 'echte' van 'nep'-kenmerken van mensen te onderscheiden.
Liveness-detectie, aldus de onderzoekers, detecteert achtergrondruis en responsvervorming of focusvervaging, waardoor het ervoor kan zorgen dat een gezicht een echt gezicht is en geen masker. Deze detectie van levendigheid wordt gebruikt door Face ID en Apple heeft zelfs een 'Attention Aware'-functie die ervoor zorgt dat uw iPhone ontgrendelt niet tenzij je ernaar kijkt.
Om Face ID te misleiden, creëerden de onderzoekers een prototype-bril met zwarte tape op de lenzen en witte tape in de zwarte tape om het uiterlijk van een oog na te bootsen. Toen ze de bril op het gezicht van een slapend slachtoffer zetten, hadden ze toegang tot zijn iPhone en zichzelf geld sturen via een mobiele betaalapp.
Deze methode werkte omdat de onderzoekers ontdekten dat detectie van levendigheid anders werkt met een bril en in wezen geen 3D-informatie uit het gebied rond de ogen haalt wanneer een bril wordt gedragen.
Ze ontdekten dat de abstractie van het oog voor detectie van levendigheid een zwart gebied (het oog) oplevert met een witte punt erop (de iris). En ze ontdekten dat als een gebruiker een bril draagt, de manier waarop levendigheidsdetectie de ogen scant, verandert.
'Na ons onderzoek hebben we zwakke punten gevonden in FaceID... het stelt gebruikers in staat om te ontgrendelen terwijl ze een bril dragen... als je een bril draagt, zal het geen 3D-informatie uit het gebied rond de ogen halen wanneer het de bril herkent.'
Een aanvaller die deze methode in de echte wereld probeert te gebruiken, heeft een slapend of bewusteloos slachtoffer nodig, toegang tot de iPhone van dat slachtoffer, en dan zou een bril over de ogen moeten worden geplaatst zonder de persoon wakker te maken. Het is vermeldenswaard dat dit niet een situatie is die de meeste mensen waarschijnlijk zullen tegenkomen, en er is deze keer ook geen secundair onderzoek naar deze vermeende methode.
Om de maas in de oogdetectie in de toekomst te verkleinen, stelden onderzoekers voor dat biometriefabrikanten identiteitsverificatie toevoegen voor native camera's en 'het gewicht van video- en audiosynthesedetectie verhogen'.
Apple heeft Face ID ontworpen met gemakkelijke toegang uitschakelen maatregelen voor situaties waarin een persoon kan worden gedwongen of gedwongen om een iPhone met gezichtsherkenning. Door op de slaap/waak-knop van een Face ID-compatibele iPhone vijf keer snel achter elkaar verschijnt een SOS-noodscherm dat Face ID automatisch uitschakelt en vereist dat een toegangscode wordt ingevoerd voordat Face ID weer werkt. Het ingedrukt houden van de zij-/bovenknop en een volumeknop werkt ook op de iPhone en de iPad Pro .
Populaire Berichten