Tietoturvayhtiö mursi iPhone X:n Face ID -tunnistuksen 3D-maskilla

[Kaotik]

Applen alkukuusta myyntiin tuoma iPhone X heitti hyvästit sormenjälkilukijalle ja luottaa biometrisen tunnistuksen saralla kasvojen tunnistukseen. Kovasta rummutuksesta huolimatta teknologia osoittautui nopeasti vähemmän luotettavaksi, kuin luvattiin.

Applen mukaan Face ID -tunnistus hyväksyisi väärennetyn kohteen vain 1:1 000 000 -suhteella, mikä on selvä parannus sormenjälkilukijoiden 1:50 000 -suhteesta. Ilmeisesti kyseinen luku perustuu kuitenkin vain satunnaisiin kuviin eikä varsinaisiin huijausyrityksiin. Vietnamilainen tietoturvayhtiö Bkav mursi Face ID:n neljässä päivässä käyttäen 3D-maskia ja printattuja valokuvia. Yhtiön mukaan vastaavaa yrittäneet tahot ovat epäonnistuneet tähän asti, koska he eivät ole ymmärtäneet, miten kasvojentunnistuksen takana oleva tekoäly toimii.



Bkavin mukaan Face ID:n murtamiseen tarvitaan vain 3D-printteri, käsin luotu silikoninenä, meikkiä ja sarja valokuvia. Yhtiön mukaan heidän käyttämänsä maskin luominen maksoi noin 150 dollaria, eli kyse on verrattain edullisesta teknologiasta. Vaikka tässä vaiheessa 3D-malli luotiin ilmeisesti fotogrammetrian avulla, yhtiö uskoo, että tulevaisuudessa sama voitaisiin tehdä esimerkiksi 3D-skannausominaisuuksin varustetuilla puhelimilla, kuten Sonyn Xperia XZ1:llä.

Koska Face ID:tä huijaavan maskin luominen on verrattain helppoa ja edullista, Bkav pitää sormenjälkilukijoita edelleen selvästi luotettavampana biometrisenä tunnisteena. Myös sormenjälkilukijoita voidaan huijata kopioiduilla sormenjäljillä, mutta ainakin Applen kasvojentunnistuksen huijaamiseen riittää periaatteessa muutama valokuva kohteesta, eikä siihen tarvita edes kuvia kasvojen molemmista puolista.

Lähde: Tom's Hardware, Bkav

Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

Linkki alkuperäiseen uutiseen (io-tech.fi)

Palautelomake: Raportoi kirjoitusvirheestä

 

[Mattersstrom]

Miten osasin niin odottaa tätä...

 

[Frezeh]

Omasta mielestä nämä älylaitteiden biometrisettunnisteet on aika naurettavia. Ihme kyllä että tuollainen yksinkertainen keino on voinut päästä laadunvalvonnan läpi.
Se että tuollaista kasvojentunnista voi huijata naamarilla ja kuvalla omistajan kasvoista on jo aika huolestuttavaa. Kuka tahansa jolla löytyy oikeat materiaalit ja välineet pystyisi avaamaan kenen tahansa puhelimen ja selata yksitystietoja. Sormenjälki on sentään hiukan vaikeammin saatavissa ja nykyaikaiset tunnistimet ei hyväksy mitään paperille tulostettuja jälkiä, mutta en silti luottaisi siihenkään kun sormenjälkiäkin jää helposti mihin tahansa jossa käyn. Tästä tulikin hyvä (allaoleva)video katsottua aikaisemmin.

 

[Hannibal]

Aika monen naama löytyy internetistä niin monen kappaleena ja eri suunnista, jotta tuo on oikeastaan aika helppoa. Se puhelimen saaminen fyysisesti käsiinsä on sitten vaikeampaa. Pahinta lienee jonkun storen käyttäminen biometrisellä tunnisteella.

Mutta onhan tämä silti tuhat kertaa parempi kuin Samsungin vastaava kasvojen tunnistus, jonka pystyi huijaamaan pelkällä kuvalla.

Mutta tietoturvalliseen käyttöön, jotain ihan muuta...

 

[Valojuova]

Itse en edes odottanut tätä kun oli sen verran itsestään selvä asia ettei tule toimimaan kyllä niinkun kuvitellaan... Melkein salasana edelleen paras. Se on arvattava tai noukittava tietokannoista.
Melkein on helpompi kaikki tälläset tunnisteet poimia talteen tai valmistaa 'julkisesta tiedosta'.

 

[Tomak89]

Kasvojentunnistuksesta varmaan saataisiin parempi, mutta ehkä Apple on alussa jättänyt tuon tarkoituksella löysään hirteen. Mieluummin toimii sulavasti, eikä niin että ihmiset rupeavat soittelemaan tukeen, kun eivät pääse puhelimiinsa.

Täällähän oli jo uutisia mm. Qualcomin seuraavasta sormenjälkitunnistimien sukupolvesta, jonka pitäisi olla nykyistä monimutkaisempi. Kyllähän tietty kaikki tekniikat ovat murrettavissa. Kyse on tietty siitä, kuinka kauan murtamiseen menee aikaa. Helpommin se pin/kuviosalaus voi joutua varkaan käsiin kuin valumuottiin painettu sormenjälki.

 

[Tunkki]

Noh... seuraava ottaa sitten verinäytteen täydentääkseen NSA-tietokannan iVamp lol

 

[Lexy]

Ei tästä nyt kovin yllättyneitä pitäisi olla kenenkään, nopeus ehkä suurin yllättäjä. Teknologia kehittyy mutta kyllä edelleen ollaan vielä suhteellisen kaukana turvallisista menetelmistä mitä tulee näihin. Tässäkin sama juttu kuin melkein missä tahansa suojauksessa eli monitasoinen ja nopea menetelmä pitäisi saada (face+finger print?)

 

[InsaneOne]

Niin kauan kun ihminen tekee suojauksen, niin kauan ihminen sen murtaa. Koska se tapahtuu on yleensä vain ajan kysymys. Lisäksi eiköhän tässä ollut ideana vaan purkaa suojaus. Mistä sitä tietää että toi edes on totta koska lukitus kuvake ei tule vaan suoraan aukee kotinäkymä.

 

[kahviteimo]

Mielestäni tämä ei ole kovinkaan yllättävää, sillä ainakaan itse en odota kuluttajalaitteilta niin luotettavaa biometristä tunnistusta, etteikö niitä voisi riittävällä vaivalla huijata tai murtaa. Viranomaisille suunnatussa laitteessa tilanne olisi toki aivan eri. Jos puhelimessa oikeasti pitää jotain erityisen salaista tietoa ja jonka esillekaivamiseen joku näkisi tämän verran vaivaa, on varmasti syytä pelata kokonaisvaltaisesti varman päälle suojauksien ja salauksien kanssa, eikä tunnistuksen osalta luottaa (vain yhteen) menetelmään, joka on mahdollisesti toteutettu liian halvasti menetelmän vaatimaan kompleksisuuteen nähden tai jossa ei voida käyttää riittävän luotettavia (kalliita) laitteita tunnistuksen tekemiseksi.

Mitä nyt vaikka sormenjälkitunnistuksesta tulee mieleen, sitähän voi olla jo kohtalaisen helppo huijata vaikkapa juottamalla uhri riittävän vahvaan humalatilaan ja käyttäen sitten hänen sormeaan puhelimen avaamiseksi, jos tosiaan luottaa vain yhteen tapaan tunnistautua.

 

[Raikku]

Ja kai kuolleellakin käyttäjällä saa puhelimen auki, esim terojen lulisi helpostikin noin tekevän, pää irti ja puhelimen eteen.

 

[Naama]

No editystä siihen, että sormenjälkilukijaa huijattiin palalla teippiä suunnilleen.

 

[ravallo]

Mielenkiintoinen keissi... Sekä Wired että Ars ovat vielä hieman skeptisiä:

Hackers Say They've Already Broken Face ID
Hackers say they broke Apple’s Face ID. Here’s why we’re not convinced

Varsinkin tuo Face ID:n "oppiva" tunnistusalgoritmi voi olla sellainen, että tietyllä tavalla tietylle naamalle opetettu luuri voi napsahtaa helpostikin auki, mutta sitten temppu ei ole luotettavasti toistettavissa:

Watch a 10-Year-Old's Face Unlock His Mom's iPhone X

Tuossahan oli käynyt niin, että sopivalla yhdistelmällä hieman huonosti onnistunut alkuperäinen naaman rekisteröinti ja sen jälkeinen epäjohdonmukainen käyttö (koodi väärän naaman jälkeen) johti tilanteeseen jossa lapsi sai aina vanhemman luurin face ID:llä auki.

Se mikä vähän ihmetyttää on, että jos BKAV ei puhu ihan paskaa, niin esimerkiksi silmien liikettä tms. "proof-of-life" -featurea ei oikeasti käytetä, vaan naamarin pitäisi kelvata.

Real-life -feasibility on vähän kyseenalainen, avaus toimii tilanteessa, jossa hyökkääjällä on luuri, mutta ei naamaa, riittävän pitkään että jää aikaa naamarin väkertämiseen, ilman että oikea omistaja huomaa luurin puuttuvan ja tappaa sen etänä (mikä tietenkään ei auta, jos puhelin avataan offline, ja siellä on paikallisesti tallennettua arkaluontoista sisältöä). Yksi mahdollinen torjuntakeinohan olisi pakottaa pääsykoodi, jos luuri on avaamatta yli n tuntia. Mahdollisia avausyrityksiä naamarilla on rajallinen määrä, joten tekniikan pitäisi olla aika luotettavaa että hyökkäysvektorissa olisi jotain järkeä.

Biometriset on joka tapauksessa hyödyttömiä tilanteissa joissa hyökkääjällä on sekä henkilö että luuri, eli melkein kaikki viranomaistilanteet ja kidnappaukset.

Pelkän pääsykoodinkin turvallisuus on vähän niin ja näin luurissa, johon sitä taotaan jatkuvasti julkisissa tiloissa, missä yksinkertainen shouldersurffaus on aina mahdollista.

 

[Rozor]

Niin kauan kun ihminen tekee suojauksen, niin kauan ihminen sen murtaa. Koska se tapahtuu on yleensä vain ajan kysymys. Lisäksi eiköhän tässä ollut ideana vaan purkaa suojaus. Mistä sitä tietää että toi edes on totta koska lukitus kuvake ei tule vaan suoraan aukee kotinäkymä.

Paitsi jos teet tarpeeksi pitkän ja monimutkaisen salasanan, niin se on mahdoton murtaa.

 

[yberkurko]

Paitsi jos teet tarpeeksi pitkän ja monimutkaisen salasanan, niin se on mahdoton murtaa.

Hah. Tarkoitatko niin pitkää, että sitä raa'alla voimalla laskevalla tietokoneella loppuu muisti kesken? Muutoinhan se on vain ajan kysymys

 

[Rozor]

Hah. Tarkoitatko niin pitkää, että sitä raa'alla voimalla laskevalla tietokoneella loppuu muisti kesken? Muutoinhan se on vain ajan kysymys

Kaippa noissakin jokin lukko on, että et saa spämmätä 5000 kertaa sekunnissa? Mikäs siinä jos vuosisatoja koittaa avata. Taitaa filutki jo mennä siinä ajassa.
Entinen poliisi "ei muista salasanojaan" – satoja vuosia vanha pykälä pitää vankilassa loputtomasti
Luulisi, että jenkeissä jos jossain saatais suojaus avattua varsinkin kun kyse on laposta.