facebook adres e-mail telefon

Skaner twarzy iPhone’a oszukany za pomocą taśmy i okularów >>

Skaner oczu w iPhone >>

Twoi wrogowie (lub co gorsza przyjaciele) mogą odblokować twojego iPhone’a kiedy będziesz nieprzytomny. Metoda przedstawiona na konferencji Black Hat USA 2019 po prostu urzeka prostotą.

Oszukiwanie rozwiązań biometrycznych najczęściej polega na podłożeniu jakiegoś fałszywego modelu. Można podstawić pod kamerę zdjęcie lub maskę zamiast twarzy. Zamiast dłoni można podłożyć atrapę z wosku i papieru. Zamiast odcisku palca może być odcisk zrobiony w wikolu. Niestety to nie zawsze wystarczy. Co lepsze mechanizmy biometrii wykrywają żywotność lub martwotę obiektu. Mogą to robić na podstawie analizy temperatury lub ruchu, ale mogą też prościej. Znacznie prościej.

Czym podrobić żywe oko i oszukać skaner?

Na konferencji Black Hat USA 2019 zaprezentowano sposób obchodzenia wykrywania żywotności w technologii Face ID od Apple. Badacz Zhuo Ma z firmy Tencent Security wyjaśnił, że Face ID sprawdza żywotność w oparciu o światło odbite od oka. U każdego żywego człowieka źrenica jest  czarnym kołem pochłaniającym światło, obok którego występuje refleks świetlny.

Wyobraźmy sobie teraz, że mamy dostęp do nieprzytomnej ofiary. Mamy do dyspozycji jej twarz, ale ofiara może mieć zamknięte oczy. Próby podnoszenia i przytrzymywania powiek mogą zakłócić trójwymiarowy model twarzy. Zakładamy też, że atakujący nie chce ryzykować ocucenia ofiary. Coś takiego jak na obrazku poniżej raczej nie przejdzie.

Taśmą i okularami oszukali skaner twarzy iPhone’a

Zhuo Ma przekonuje, że można znacznie prościej.

Taśmą panie! Taśmą!

Firma Apple ma wielu klientów-okularników. Ma też fioła na punkcie user exprerience, więc  najwyraźniej nie chciała utrudniać nikomu życia koniecznością zdejmowania okularów do odblokowania telefonu. To był słaby punkt. Jeśli użytkownik założy okulary to skaner Face ID nie będzie tworzyć i analizować trójwymiarowego modelu okolicy oczu. To naprowadziło badaczy na genialnie proste rozwiązanie. Trzeba było stworzyć okulary z przekonującym (dla AI) obrazem oczu, który może być płaski.

Oto takie okulary.

Taśmą i okularami oszukali skaner twarzy iPhone’a

“Okulary X” (zdjęcie zaczerpnięte z Threatpost.com)

Na zwykłych okularowych szkłach naklejono dwa kawałki czarnej taśmy, a na nich jeszcze dwa malutkie kawałki taśmy białej. Skaner AI odczytuje to jako żywe oczy. Threatpost relacjonujący wystąpienie Zhuo Ma podaje, że tak proste narzędzie wystarczyło do przeprowadzenia pokazowego ataku polegającego na odblokowaniu telefonu i wykonaniu płatności mobilnej.

Należą się oklaski za prostotę rozwiązania i rzecz jasna za użycie taśmy!

Taśmą i okularami oszukali skaner twarzy iPhone’a

Już wcześniej pisaliśmy, że w niektórych przypadkach oszukiwanie złożonej sztucznej inteligencji wymaga prostych zabiegów. Czasami dosłownie dodanie kropki lub kreski w kluczowym miejscu może sprawić, że technologia inaczej zinterpretuje obraz. Problem ten podnoszono m.in. w kontekście samochodów autonomicznych. Wystarczy dodać na znak “STOP” cztery kreski żeby AI odczytała ten znak jako ograniczenie prędkości (zob. Slight Street Sign Modifications Can Completely Fool Machine Learning Algorithms).

Co robić jak żyć?

Atak opisany w tym tekście nie będzie stanowił ogromnego zagrożenia. Zgadujemy, że rzadko bywacie nieprzytomni w obecności osób postronnych. Jeśli jest inaczej to od dawna macie powody by unikać biometrii.

Ustalenia badaczy z Tencent mogą mieć znaczenie praktyczne, ale bardziej dla producentów rozwiązań biometrycznych niż dla użytkowników. Interesujące jest zwłaszcza wykazanie tego, że mechanizm ustalania żywotności może być zarówno mocnym jak i słabym punktem zabezpieczenia.

Źródło: niebezpiecznik.pl

Firma CSK dba o bezpieczeństwo swoich klientów i dokłada wszelkich starań, aby zarekomendować oraz zapewnić ochronę sieci. W przypadku pytań zapraszamy do kontaktu.

Poprzedni artykuł: Bankomat to wciąż cel przestępców - różne metody wyłudzenia pieniędzy

Masz pytania? Napisz do nas!

Wyślij wiadomość