Face ID w iPhonie nie ochroni naszych danych
Nie ma zabezpieczeń, których nie da się złamać – a miało być tak pięknie. Wietnamskiej firmie Bkav udało się obejść system Face ID od Apple. W jaki sposób?
System Face ID, którym chwaliło się Apple, miał ułatwić życie użytkownikom iPhonów X i napędzić sprzedaż tego modelu. Zamiast żmudnego wpisywania hasła czy wykonywania skomplikowanych ruchów palcem po ekranie wystarczyło rzucić okiem na ekran smartfona. Ten po rozpoznaniu swojego właściciela odblokowuje dostęp do urządzenia. Oczywiście z takich zabezpieczeń korzystają też smartfony konkurencyjnych firm, ale potrzebują one dłuższej chwili na rozpoznanie twarzy. Co gorsza, bazują one na wykonaniu zwykłego zdjęcia twarzy, które porównują z zapisem w pamięci. W praktyce oznacza to, że łatwo jest tego typu systemy oszukać stosując po prostu wydrukowaną fotografię. Na dodatek smartfon trzeba podnieść na wysokość twarzy lub się nad nim nachylić, tak aby aparat mógł wykonać takie samo ujęcie, jak przy zapisywaniu twarzy użytkownika, co jest mało wygodne. Samo rozpoznawanie też trwa dość długo.
Zaawansowany system Apple
Apple zastosował o wiele bardziej zaawansowany system. Wykorzystuje on projektor podczerwieni oraz kamerę odbierającą odpowiedni zakres światła. Projekt wyświetla na twarzy użytkownika siatkę 30 000 punktów, które służą do zbudowania trójwymiarowego modelu, a ten jest następnie porównany z osobą patrzącą na smartfon. Dzięki dużej liczbie danych opisujących twarz można odblokować dostęp do urządzenia nawet patrząc na smartfon pod różnymi kątami, a także po zmianie fryzury czy założeniu okularów. Wykorzystanie światła podczerwonego uniezależnia przy okazji kamerę od poziomu oświetlenia, przy którym chcemy korzystać ze smartfona. Można więc odblokować go nawet przy słabym oświetleniu, przy którym inne urządzenia nie byłyby w stanie rozpoznać naszej twarzy.
Złamanie zabezpieczeń
Niestety okazało się, że i ten system można dość łatwo oszukać. Dokonali tego pracownicy wietnamskiej firmy Bkav, która zajmuje się bezpieczeństwem w sieci. System Face ID oszukany został przez trójwymiarową maskę, którą wykonano na drukarce 3D. Oczywiście nie było to proste.
W pierwszej kolejności należało wykonać trójwymiarowe zdjęcie użytkownika, a następnie wydrukować trójwymiarowy szkielet maski, która oddawałaby zasadnicze rysy twarzy. Niezbędne też było wykonanie silikonowego modelu nosa oraz wydrukowanie zdjęć oczu i ust, które naklejono na maskę. Realizacja maski pochłonęła kwotę 150 000 dolarów, co dla przeciętnego użytkownika smartfonów jest oczywiście olbrzymią kwotą. Jednak dla osób czy firm chcących dotrzeć do cennych danych są to osiągalne wydatki.
Co prawda należy zdobyć trójwymiarowe zdjęcie twarzy właściwej osoby, ale obecnie nie jest to nieosiągalne. Wystarczy trójwymiarowy aparat, taki jak Sony XZ1 czy też odpowiednio zaaranżowane pomieszczenie ze skanerem 3D (np. Staramba 3D INSTAGRAPH). Bez trudu można więc wykonać takie zdjęcie bez wiedzy fotografowanej osoby i obejść zabezpieczenia.
Piotr Surmiak