Авторизацию в iPhone X по лицу взломали маской за $150. Видео

Безопасность Бизнес Техника
мобильная версия
, Текст: Роман Георгиев

Вьетнамским исследователям понадобилось всего около недели, $150 и 3D-принтера, чтобы найти способ обходить систему авторизации Face ID, реализованную Apple в своих новых мобильных устройствах.


Взлом Apple Face ID

Вьетнамская фирма по кибербезопасности Bkav продемонстрировала способ обхода системы авторизации по лицу Apple Face ID, реализованую в новых мобильных устройствах компании — iPhone X. Для этого им потребовалось изготовить на 3D-принтере маску, которая лишь частями напоминает лицо владельца устройства.

Face ID идентифицирует владельца не по всему лицу: ее «интересуют» только области вокруг глаз и сами глаза, нос, рот, общая форма и рельеф. Используя цифровые фотографии потценциальной жертвы, исследователи изготовили на 3D-принтере маску, повторяющую общую форму лица из силикона, и отдельно нос, а также приклеили к маске фотографии губ, глаз и бровей. Несмотря на то, что получившаяся маска напоминает лицо тяжело травмированного человека, почти целиком покрытое бинтами и пластырями, Face ID действительно удалось обмануть.

В Bkav не впервые проверяют на прочность системы распознавания лиц. Еще в 2009 г. ее сотрудники доказали неэффективность подобных средств авторизации, которые в тот период активно распространялись вместе с ноутбуками ASUS, Lenovo, Toshiba и другими. Для обхода защиты хватило всего лишь цветной фотографии пользователя.

Методика взлома Apple Face ID

Точно так же с помощью фотографии оказалось возможным обманывать системы распознавания лица и радужки глаза в Samsung Galaxy S8 — разные группы исследователей продемонстрировали это в начале 2017 г.

Против кого это можно использовать

Попытки вскрыть Face ID предпринимались и ранее, но в Bkav оказались первыми, кто преуспел. Им потребовалась неделя и около $150 на то, чтобы изготовить эффективную обманку. Сами эксперты Bkav указывают, что продемонстрированный ими метод если и будет использоваться, то только против миллиардеров, госчиновников, руководителей корпораций и других лиц, занимающих высокие посты.

С этим согласен Валерий Тюхменев, эксперт по информационной безопасности компании SEC Consult Services. «Процесс изготовления маски слишком сложен, чтобы использовать его против обычных пользователей, — говорит он. — Есть вероятность, что его будут использовать в особых случаях против “высокопрофильных” мишеней, но и она невысока, поскольку скорее всего их смартфоны будут оснащены несколькими слоями защиты. Но в любом случае, эксперимент Bkav показывает, что как бы хороша ни была защитная система, слабые места в ней рано или поздно найдутся. Вопрос только в том, насколько легко или сложно их эксплуатировать.

Тюхменев также напомнил, что для обучения Face ID разработчики Apple сами использовали искусственные лица — маски, похожие на лица людей.