Face ID ingannato dai ricercatori, ma serve una procedura da 007

Face ID abbassa la guardia quando l’utente indossa gli occhiali: alla Black Hat i ricercatori svelano come hanno ingannato Face ID ma procedura e condizioni sembrano quelle di un film di 007

Face ID

Ricercatori specializzati in sicurezza hanno dimostrato la possibilità di bypassare il meccanismo di riconoscimento del volto di Apple: Face ID è stato ingannato impiegando degli occhiali sui quali, in corrispondenza delle lenti, è stato applicato del nastro adesivo nero e anche bianco. Occhiali che però devono essere indossati dall’utente autorizzato, il che significa che quest’ultimo deve essere obbligato mentre dorme o è privo di sensi; in definitiva procedura e condizioni sono difficilmente replicabili nella vita reale.

I ricercatori di Tencent hanno approfittato del “rilevatore di vitalità” di Face ID, un meccanismo che consente alla tecnologia di capire se la persona che ha davanti è reale e non una maschera o qualcuno che indossa una protesi artificiale. Individuando il “rumore” nello sfondo, distorsioni di risposta e la sfocatura al focus, strumenti biometrici come il Face ID sono in grado di determinare se hanno davanti un viso reale o una versione artificiale.

Il rilevatore di vitalità è una delle tante tecnologie che rende Face ID più efficace e accurato rispetto a soluzioni concorrenti disponibili sui dispositivi Android. Il rilevatore di vitalità è – tra le altre cose – in grado di impedire lo sblocco mettendo il dispositivo davanti al volto di una persona non cosciente, permettendo, in teoria, di impedire potenziali attacchi che potrebbero essere portati a termine semplicemente puntando la fotocamera TrueDepth davanti al volto di un utente privo di sensi.

FaceID migliorato per gli iPhone del 2019

I ricercatori esperti in sicurezza hanno scoperto che Face ID modifica la procedura di scansione quando il target da analizzare indossa gli occhiali. «Dopo aver fatto delle ricerche, abbiamo individuato punti deboli nel Face ID che permettono di effettuare lo sblocco indossando occhiali» ha spiegato Zhuo Ma di Tencent riportato da Threat Post. «Quando si indossano gli occhiali, il sistema non tiene conto della mappa 3D dell’area intorno agli occhi».

I ricercatori hanno creato un prototipo di occhiali denominati “X-glasses”: dei semplici occhiali oscurati con del nastro bianco e rivestiti con nastro nero. Facendo indossare questi occhiali alla “vittima”. il Face ID sblocca il sistema. Detta così sembra che il sistema sia in grado di aggirare il Face ID ma in realtà è utilizzabile solo sul volto di una potenziale vittima priva di sensi, richiede l’accesso fisico al dispositivo e bisogna sistemare gli occhiali sul volto dell’utente-vittima senza svegliarla. Secondo i ricercatori dovrebbe essere possibile per Apple eliminare questa “debolezza”, integrando ad esempio un meccanismo di ponderazione che tiene conto anche di audio e video.

Già da tempo Apple studia varie migliorie al Face ID, brevettando ad esempio sistemi in grado di leggere le vene sotto pelle, rendendo diversi anche i gemelli monozigoti, ma anche impedire l’uso di maschere.

Ricercatori di sicurezza hanno individuato una debolezza nel Face IDAllo stato attuale, Face ID è un sistema di autenticazione molto sicuro in quanto le probabilità che un volto casuale riesca a sbloccare il telefono sono di una su un milione (sono soprattutto gemelli, fratelli e bambini indicativamente sotto i 13 anni ad avere maggiori possibilità di successo), di contro con Touch ID le probabilità che una impronta digitale diversa da quella registrata riesca a ingannare il sistema sono di 1 su 50.000.

Apple ha anche predisposto un meccanismo che consente di impedire lo sblocco con il Face ID. In caso di pericolo, è possibile tenere premuto il tasto laterale e uno dei tasti del volume finché non viene visualizzato il cursore di SOS emergenze. Lo stesso si può ottenere anche premendo in rapida successione 5 volte il tasto di accensione-pausa di un iPhone con Face ID.

Premendo questi tasti il telefono non può essere più sbloccato con il volto (Face ID) o le impronte (Touch ID) ma bisogna a questo punto inserire il codice di sblocco. Le funzionalità di autenticazione biometrica vengono riattivate solo dopo aver inserito il codice di sblocco. Questo sistema è stato usato negli scorsi giorni dai manifestanti di Hong Kong che protestano per chiedere riforme democratiche e contro le violenze della polizia.