Tonton: Bkav Researcher Mengalahkan Sistem Pengiktirafan Muka Apple

Hanya 10 hari selepas pelepasan rasmi Apple iPhone X, para penyelidik keselamatan percaya mereka ada membangunkan kaedah untuk mengalahkan Face ID peranti sistem pengenalan wajah yang dijanjikan menjadi langkah besar dalam keselamatan.

Didalam blog post dan video yang diterbitkan pada hujung minggu, para penyelidik di firma keselamatan Vietnam, Bkav menegaskan sebagai yang pertama untuk menipu ciri pengesahan biometrik baru iPhone X ke dalam unlocking. Walaupun kaedah itu belum direplikasi atau disahkan oleh mana-mana pakar lain, ia mewakili kerentanan pertama yang jelas dalam apa yang diharapkan oleh Apple sebagai ciri keselamatan peluru.

Kaedah yang digunakan oleh para penyelidik untuk kononnya mengalahkan keselamatan generasi biometrik generasi ketiga adalah teknologi yang rendah. Pasukan Bkav menggunakan bahan yang boleh diakses untuk membuat topeng yang dapat meyakinkan ID Wajah legitimasinya.

Face ID Mask dari Bkav

Topeng ID-Bawang Face Bkav.

Topeng itu terdiri daripada plastik dicetak 3D untuk membuat bingkai wajah, silikon untuk berita, kertas 2D yang dipotong dari mata dan mulut dan solek seseorang untuk sentuhan sentuh-yang semuanya menelan kos penyelidik sebanyak kira-kira $ 150.

Dalam video YouTube yang disiarkan oleh Bkav, penyelidik menunjukkan topeng dalam tindakan. Kumpulan itu memasang topeng di hadapan iPhone X, yang mereka duduk di atas pendirian. Sebaik sahaja salah seorang pekerja syarikat itu mengeluarkan sepotong kain yang menutup topeng, iPhone X membuka kunci dan membolehkan akses seperti yang berlaku jika ia mengenali wajah pemiliknya.

Demonstrasi, jika sah, akan memberikan masalah kepada Apple. Apabila kaedah pengesahan biometrik wajah pertama kali didedahkan di atas pentas pada suatu acara yang diadakan awal tahun ini, Naib Presiden Kanan Apple Marketing Worldwide Phil Schiller bersumpah ciri itu tidak boleh tertipu.

"Pasukan itu telah bekerja keras untuk memastikan bahawa ID Wajah tidak boleh dengan mudah ditipu oleh perkara seperti gambar," kata Schiller. "Mereka bahkan telah pergi dan bekerja dengan pembuat topeng profesional dan artis solek di Hollywood untuk melindungi terhadap percubaan ini untuk mengalahkan Face ID."

Apple merujuk kepada IBT artikel asas pengetahuan mengenai Face ID tetapi enggan mengulas mengenai spesifik penyelidikan dari Bkav.

Kerja-kerja yang diterbitkan oleh Bkav mencadangkan semua ujian itu mungkin tidak berguna-walaupun terdapat banyak sebab untuk menjadi ragu-ragu terhadap hack yang berpotensi, dan banyak soalan yang tidak dijawab walaupun firma keselamatan membebaskan soalan dan jawapan blog post mengenai penyelidikannya.

Walaupun Bkav menunjukkan topeng yang digunakan untuk membuka kunci peranti, mereka tidak mendedahkan banyak detail di luar itu. Adakah topeng itu mengolok-olok wajah orang yang diiktiraf oleh ID Wajah atau mereka hanya mendaftarkan topeng itu sendiri? Adakah butiran seperti dimensi masalah muka seseorang, atau adakah ini mencadangkan bahawa semua keperluan adalah template dan cetakan mata dan bibir seseorang untuk menipu sensor?

Dan kemudian ada persoalan tentang kemungkinan serangan ini sebenarnya mempengaruhi sesiapa sahaja. Para penyelidik Bkav mengakui ia tidak mungkin bahawa kaedah itu akan berdaya maju untuk memecah masuk ke peranti rata-rata orang itu. Sebaliknya, ia memerlukan usaha yang lebih bertumpu, mungkin terhadap orang yang berprofil tinggi.

Para penyelidik mengakui teknik mereka akan memerlukan pengukuran terperinci atau imbasan digital wajah sasaran. Para penyelidik mengatakan mereka menggunakan alat pengimbas genggam yang diperlukan sekitar lima minit untuk mengimbas wajah subjek ujian secara manual. Itu meletakkan kaedah spoofing mereka dalam bidang spionase yang sangat disasarkan, dan bukannya jenis run-of-the-mill hacking kebanyakan pemilik iPhone X mungkin menghadapi.

"Masa dan usaha terlibat dalam mewujudkan topeng yang menipu perisian pengenalan Face ID. Dimensi terperinci perlu diambil untuk membuat topeng, dan firma keselamatan merujuk kepada hakikat bahawa mereka terpaksa menggunakan bahan khas di topeng juga, "Jurutera sistem Paul Norris-senior untuk Eropah, Timur Tengah, dan Afrika pada keselamatan tegas Tripwire -Told Times Perniagaan Antarabangsa.

Memang, proses itu memerlukan jenis pendedahan yang diharapkan daripada seorang selebriti dan bukannya orang biasa. Para penyelidik menggunakan alat pengimbas genggam yang memerlukan hampir lima minit pengimbasan manual muka subjek ujian untuk menghasilkan cetakan terperinci yang tinggi dari mata dan bibir orang tersebut. Itulah jenis terperinci yang mungkin tidak dapat diperoleh dari gambar orang biasa.

Terry Ray, ketua pegawai teknologi keselamatan siber Imperva, memberitahu IBT, "Tidak ada yang 100 peratus selamat. Dimana ada kemahuan, disitu ada jalan. Persoalannya ialah: berapa banyak masalah yang akan dilakukan seseorang, dan berapa banyak yang mereka akan habiskan, untuk mendapatkan data anda? "

Beliau berkata serangan yang dikemukakan oleh para penyelidik Bkav adalah "serangan pelencongan individu" yang perlu dibina dan dilaksanakan terhadap setiap mangsa secara berasingan, bermakna ia hanya berdaya maju untuk serangan yang disasarkan terhadap individu tertentu.

Ray juga menyatakan bahawa serangan itu memerlukan pelaku ancaman untuk mencuri peranti seseorang dan membuat topeng dengan ketepatan sedemikian sehingga tidak mungkin seseorang menjadi mangsa skema sedemikian. Ray memanggilnya sebagai serangan gaya '' Mission Impossible '. "

Ia juga perlu diperhatikan bahawa untuk demo Bkav untuk berfungsi, ia perlu mengelakkan mencetuskan salah satu daripada beberapa situasi di mana iPhone X akan meminta pengguna untuk memasukkan kod laluan mereka daripada sekadar membuka kunci dari imbasan ID Wajah yang berjaya.

IPhone X akan meminta penggunanya memasukkan kod laluannya jika peranti baru sahaja dihidupkan atau dimulakan semula, belum dikunci selama lebih dari jam 48, belum dikunci melalui kod laluan lebih dari jam 156, belum dikunci melalui ID Wajah dalam masa lebih daripada 4, telah menerima arahan kunci jauh atau telah mencuba lima percubaan yang tidak berjaya untuk membuka kunci melalui Face ID.

Ray berkata untuk serangan topeng Bkav untuk bekerja penyerang perlu membuat topeng menggunakan foto, mencuri iPhone mangsa, berharap bahawa ia jatuh dalam tetingkap enam dan setengah hari di mana kod laluan tidak diperlukan, pastikan ia tidak berkuasa, dan mengasingkannya dari semua rangkaian untuk mencegah arahan kunci jauh atau percubaan lain untuk menghubungi peranti.

Kemudian penyerang akan mempunyai lima percubaan sepanjang jam 48 untuk mendapatkan topeng untuk bekerja, atau risiko mendapat diminta untuk kod laluan yang Ray berkata "boleh mengambil bertahun-tahun [untuk retak] jika mangsa menggunakan kod alfanumerik enam angka. "

Norris of Tripwire menggambarkan senario di mana seseorang itu dapat berjaya melaksanakan serangan itu sebagai "urutan kejadian yang tidak mungkin" dan mempersoalkan jika serangan itu benar-benar menjadi ancaman kepada pengguna iPhone X secara purata.

Tidak mungkin kerana pendekatan topeng Bkav yang pernah digunakan di alam liar untuk membuka kunci iPhone X, ia membantu untuk menyerlahkan beberapa kelemahan potensi Face ID.

Josh Mayfield, pengarah pemasaran produk di firma keselamatan FireMon, memberitahu IBT bahawa ID Wajah "tidak dimaksudkan untuk menjadi ukuran keselamatan untuk pengesahan yang kuat," tetapi sebaliknya kaedah login yang menjadikan kehidupan lebih mudah bagi pengguna. "Hype di sekitar log masuk automatik dari menatap telefon seseorang itu bertujuan memberi pengguna kemudahan, bukannya mengeras keselamatan untuk menghalang akses yang tidak dibenarkan."

Mayfield juga berkata bahawa ID Wajah Apple "mencari pengesahan daripada pengesahan tidak sah" apabila mengesahkan pengguna. "Apabila anda mula dengan matlamat mengesahkan, anda dengan cepat akan memerah setiap pemboleh ubah baru agar sesuai dengan hasil yang anda inginkan," katanya, memberi amaran bahawa sistem sedemikian kadang-kadang akan membuang butir-butir yang "tidak betul" dan sebaliknya memfokus pada mengesahkan yang adalah.

"Mesin mendapat cukup dekat dan menggunakan kebarangkalian untuk mengesahkan identiti. Tetapi kebarangkalian tidak pasti, "katanya.

Ray of Imperva berkata Face ID membentangkan pengguna dengan keupayaan untuk memilih kemudahan keselamatan tetapi dinasihatkan pengguna yang ingin benar-benar melindungi peranti mereka untuk menggunakan kod laluan sekurang-kurangnya sehingga Face ID menjalani ujian yang lebih ketat untuk membuktikan ia dapat bertahan serangan seperti yang diletakkan oleh Bkav.

"Untuk tujuan [keselamatan], pendekatan terbaik adalah enam kod angka yang lebih baik daripada aksara sensitif alfanumerik yang bukan huruf," kata Ray. "Bagi yang lain, ID FACE mungkin saja."

Source

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.