| 13 ноября 2017 г. — 4:08 PT
Фирма, занимающаяся кибербезопасностью, по-видимому, успешно обманула Face ID, разблокировав его с помощью специально изготовленной маски, имитирующей лицо реального человека. Исследователи безопасности заявили, что разблокировали iPhone X только с помощью лица реального человека, поэтому iPhone не смог получить ложные данные с маски.
Насколько серьезной уязвимостью это является на самом деле, конечно, предмет споров. Стоимость изготовления маски составила всего 150 долларов, но потребовался доступ к детальному сканированию черт лица человека и многочасовая работа художников…
Исследователи говорят, что большая часть модели была изготовлена с помощью 3D-принтера, доступного в продаже, в то время как другие элементы, такие как кожа и нос, были сделаны вручную.
Получившаяся маска совсем не похожа на человеческую, с раскрашенными только в области глаз, носа и рта. Исследователи обнаружили, что большие участки лица не обязательно должны точно изображать объект, чтобы Face ID успешно разблокировался.
Apple заявляет, что система Face ID включает защиту от таких биометрических атак, хотя и не гарантирует абсолютную безошибочность. Вот соответствующая цитата из технического описания:
Дополнительная нейронная сеть, обученная выявлять и противостоять спуфингу, защищает от попыток разблокировать телефон с помощью фотографий или масок.
Практическая ценность этого раскрытия информации спорна. То, что Face ID может быть обманут фотографией, — это одно, а то, что он может быть обманут точной маской, — это уже очень высокий барьер.
Однако это показывает, что целевая атака на конкретных важных лиц вполне возможна. Исследователи предполагают, что из-за слабых мест Face ID его не следует использовать руководителям или президентам, например.
Для обычного человека Face ID более чем безопасен — человеку слишком долго создавать маску такого качества, чтобы взломать телефон случайного человека.
Стоит также отметить, что эта маска была изготовлена с сотрудничеством человека, которого она имитирует, чего не было бы при атаке на генерального директора, например.
Более того, Apple может использовать результаты этого исследования для создания еще более безопасного алгоритма для Face ID, который будет выпущен в будущих обновлениях программного обеспечения.