Систему сканирования лица Face ID, позволяющую пользователям iPhone X разблокировать устройство, можно взломать с помощью маски, напечатанной на 3D-принтере. Это продемонстрировали специалисты из вьетнамской компании по информационной безопасности Bkav.
В последние годы во многих смартфонах для защиты доступа устанавливаются биометрические сканеры отпечатков пальцев, радужной оболочки глаз или всего лица. Они позволяют разблокировать устройство удобнее и быстрее, чем с помощью ввода пароля, а также считаются более безопасными — если пароль можно подсмотреть, то подделать биометрические данные обычно сложнее. Тем не менее, такие способы аутентификации все равно не обладают абсолютной безопасностью и специалисты тестируют даже новейшие решения в поисках возможных уязвимостей. В отличие от пароля, который можно сменить, c радужной оболочкой, лицом или отпечатками такое решение не подходит.
В начале сентября Apple представила новый смартфон iPhone X, который заметно отличался от предыдущих моделей за счет увеличенного соотношения площади экрана к передней поверхности, из-за чего компании пришлось убрать сканер отпечатка пальца, обычно располагавшийся под ним. Вместо того, чтобы переместить его на заднюю поверхность смартфона, как делают многие другие производители, Apple решила заменить его на сканер лица под названием Face ID. За счет комбинации двух камер и инфракрасного излучателя, проецирующего сетку из точек на лицо, он может создавать трехмерный снимок лица владельца с высокой точностью.
Через неделю после начала продаж iPhone X вьетнамские исследователи в области безопасности продемонстрировали, что систему распознавания можно обмануть с помощью маски, причем не полностью соответствующей лицу. Они создали объемную модель лица с помощью специального сканера, а затем распечатали маску на основе этой модели на 3D-принтере. Также они создали поверх нее реалистичные части лица: слепили нос, а на место губ и глаз закрепили распечатанные двумерные изображения. Несмотря на то, что реалистично на маске выглядят только эти части лица, система распознала в ней владельца.
Себестоимость такой маски составила около 150 долларов. Исследователи признают, что пока процесс сканирования перед созданием маски не позволит массово использовать эту технологию злоумышленникам, но они считают, что в будущем в качестве исходных данных будет достаточно фотографий, а не трехмерной модели.
Недавно немецкая группа хакеров представила относительно простой способ взлома сканера радужной оболочки глаз в смартфоне Samsung Galaxy S8. Для этого злоумышленнику необходимо сделать инфракрасный снимок глаз со среднего расстояния, распечатать его на лазерном принтере, и закрепить поверх контактную линзу.
Григорий Копиев