Спецпроекты

Авторизацию в iPhone X по лицу взломали маской за $150. Видео

Безопасность Бизнес Техника Мобильность

Вьетнамским исследователям понадобилось всего около недели, $150 и 3D-принтера, чтобы найти способ обходить систему авторизации Face ID, реализованную Apple в своих новых мобильных устройствах.

Взлом Apple Face ID

Вьетнамская фирма по кибербезопасности Bkav продемонстрировала способ обхода системы авторизации по лицу Apple Face ID, реализованую в новых мобильных устройствах компании — iPhone X. Для этого им потребовалось изготовить на 3D-принтере маску, которая лишь частями напоминает лицо владельца устройства.

Face ID идентифицирует владельца не по всему лицу: ее «интересуют» только области вокруг глаз и сами глаза, нос, рот, общая форма и рельеф. Используя цифровые фотографии потценциальной жертвы, исследователи изготовили на 3D-принтере маску, повторяющую общую форму лица из силикона, и отдельно нос, а также приклеили к маске фотографии губ, глаз и бровей. Несмотря на то, что получившаяся маска напоминает лицо тяжело травмированного человека, почти целиком покрытое бинтами и пластырями, Face ID действительно удалось обмануть.

В Bkav не впервые проверяют на прочность системы распознавания лиц. Еще в 2009 г. ее сотрудники доказали неэффективность подобных средств авторизации, которые в тот период активно распространялись вместе с ноутбуками ASUS, Lenovo, Toshiba и другими. Для обхода защиты хватило всего лишь цветной фотографии пользователя.

Методика взлома Apple Face ID

Точно так же с помощью фотографии оказалось возможным обманывать системы распознавания лица и радужки глаза в Samsung Galaxy S8 — разные группы исследователей продемонстрировали это в начале 2017 г.

Против кого это можно использовать

Попытки вскрыть Face ID предпринимались и ранее, но в Bkav оказались первыми, кто преуспел. Им потребовалась неделя и около $150 на то, чтобы изготовить эффективную обманку. Сами эксперты Bkav указывают, что продемонстрированный ими метод если и будет использоваться, то только против миллиардеров, госчиновников, руководителей корпораций и других лиц, занимающих высокие посты.

С этим согласен Валерий Тюхменев, эксперт по информационной безопасности компании SEC Consult Services. «Процесс изготовления маски слишком сложен, чтобы использовать его против обычных пользователей, — говорит он. — Есть вероятность, что его будут использовать в особых случаях против “высокопрофильных” мишеней, но и она невысока, поскольку скорее всего их смартфоны будут оснащены несколькими слоями защиты. Но в любом случае, эксперимент Bkav показывает, что как бы хороша ни была защитная система, слабые места в ней рано или поздно найдутся. Вопрос только в том, насколько легко или сложно их эксплуатировать.

Тюхменев также напомнил, что для обучения Face ID разработчики Apple сами использовали искусственные лица — маски, похожие на лица людей.



Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей