Исследователи вьетнамской ИБ-компании Bkav утверждают, что смогли обмануть технологию аутентификации пользователя по лицу, используемую в новом iPhone X. Функция Face ID позволяет пользователю разблокировать смартфон, просто поднеся экран к лицу.

В основе PoC-атаки Bkav — специально подготовленная маска, которую исследователи сделали при помощи 3D-принтера, силикона и косметики. Потратив около $150 на материалы и услуги специалиста по гриму, эксперты решили подвергнуть сомнению утверждение Apple о том, что технологию Face ID невозможно обмануть. Результаты эксперимента команда опубликовала в пресс-релизе в субботу 11 ноября.

На демонстрационном видео показано, как iPhone X разблокируется сразу же, как только ткань, скрывающая маску, убрана. Исследователи признали, что им пришлось в течение шести дней поработать над муляжом, чтобы обмануть искусственный интеллект. Однако аутентификацию можно было пройти, показав даже половину маски.

К находке отнеслись неоднозначно. Даже если PoC-взлом действительно работает, есть некоторые ограничения, с которыми может столкнуться атака. По словам Apple, в некоторых ситуациях аутентификации при помощи Face ID будет недостаточно, и пользователю придется ввести пароль. Это происходит в следующих ситуациях:

  • Устройство было выключено или перезагружено.
  • Никто не разблокировал устройство в течение 48 часов.
  • Смартфон не разблокировался с помощью Face ID за последние 4 часа, и при этом пароль не использовался для разблокировки за последние 6,5 дней.
  • На устройство удаленно поступила команда о блокировке.
  • Система аутентификации не распознала лицо за пять попыток подряд.
  • Произошло аппаратное выключение смартфона или инициация сигнала SOS при одновременном нажатии кнопок контроля уровня звука и боковой кнопки.

Учитывая все меры предосторожности, которые предприняла Apple, практическая применимость PoC под вопросом: успех атаки предполагает создание детализированной карты лица и его очень точного и реалистичного слепка всего за 48 часов, при этом распознание должно произойти не более чем с пяти попыток.

Кроме того, документ, в котором представители Bkav описывают атаку, выглядит поверхностным, в нем не хватает существенных деталей — например, какие 3D-технологии использовались для создания маски и за сколько попыток исследователям удалось обойти аутентификацию. Есть вероятность, что искусственный интеллект, используемый в FaceID, склонен разблокировать смартфон, даже если он не распознал лицо, но после пяти неудачных попыток был введен правильный пароль.

По словам Bkav, основная цель атаки — как раз искусственный интеллект. Исследователи утверждают, что в 2008 году уже взламывали похожие технологии аутентификации, используемые в ноутбуках Toshiba, Lenovo и Asus, при помощи фотографий.

Информация о компрометации Face ID появилась практически в одно время с вероятным началом еще одной кампании ФБР против шифрования и защищенных мессенджеров. После ноябрьской трагедии в Техасе, когда в церкви были расстреляны 26 человек, ФБР так и не смогло разблокировать смартфон террориста — так же, как и смартфон стрелка из Сан-Бернардино. Напомним, тот инцидент положил начало долгому противостоянию ФБР и Apple, всколыхнувшему всю отрасль.

В этой связи исследователи Bkav опасаются, что возможность обхода Face ID может сделать владельца iPhone X объектом целевых атак. «Потенциальные жертвы — это не среднестатистические пользователи, а миллиардеры, главы огромных корпораций и стран, те же агенты ФБР. Конкуренты, промышленные шпионы, разведка — все они могут воспользоваться техникой обхода FaceID», — сказали в Bkav.

Специалисты из Bkav — не первые критики Face ID. Как только iPhone X показали публике, эксперты выразили беспокойство, что данные, собираемые в ходе распознавания лиц, могут использовать недобросовестные авторы приложений. Тем более, сторонним разработчикам не запрещено передавать данные Face ID на свои сервера и хранить их. Также некоторые эксперты обращали внимание, что этот механизм авторизации не усложняет, а упрощает несанкционированную разблокировку и использование смартфона (например, карманником, ревнивым супругом или недобросовестным следователем): незаметно или насильно «показать» устройству хозяина гораздо проще, чем узнать пароль или заставить приложить к датчику палец.

Категории: Кибероборона, Уязвимости