Während der Black Hat USA-Konferenz in Las Vegas demonstrierten Forscher eine Face-ID-Bypass-Methode, bei der Brillen und Klebeband zum Entsperren und Infiltrieren der iPhone eines „bewusstlosen“ Opfers.
Laut einem Bericht von Bedrohungsposten (über ich mehr ) versuchten Forscher von Tencent, das Erkennungsmerkmal 'Lebendigkeit' in der Biometrie zu täuschen, das 'echte' von 'gefälschten' Merkmalen von Menschen unterscheiden soll.
Die Lebendigkeitserkennung, so die Forscher, erkennt Hintergrundgeräusche und Reaktionsverzerrungen oder Fokusunschärfen und kann so sicherstellen, dass ein Gesicht ein echtes Gesicht und keine Maske ist. Diese Liveness-Erkennung wird von Face ID verwendet, und Apple hat sogar eine 'Aufmerksamkeits-Funktion', die sicherstellt, dass Ihr iPhone wird nicht entsperrt, es sei denn, Sie sehen es sich an.
Um Face ID auszutricksen, erstellten die Forscher einen Brillenprototyp mit schwarzem Klebeband auf den Gläsern und weißem Klebeband innerhalb des schwarzen Klebebands, um das Aussehen eines Auges nachzuahmen. Als sie die Brille über das Gesicht eines schlafenden Opfers legten, konnten sie auf dessen iPhone und senden sich selbst Geld über eine mobile Zahlungs-App.
Diese Methode funktionierte, weil die Forscher herausfanden, dass die Lebendigkeitserkennung bei Brillen anders funktioniert und im Wesentlichen keine 3D-Informationen aus der Augenpartie extrahiert, wenn eine Brille getragen wird.
Sie entdeckten, dass die Abstraktion des Auges für die Lebendigkeitserkennung einen schwarzen Bereich (das Auge) mit einem weißen Punkt darauf (der Iris) wiedergibt. Und sie fanden heraus, dass sich die Art und Weise ändert, wie die Lebendigkeitserkennung die Augen scannt, wenn ein Benutzer eine Brille trägt.
'Nach unseren Recherchen haben wir Schwachstellen in FaceID gefunden ... es ermöglicht Benutzern das Entsperren beim Tragen einer Brille ... wenn Sie eine Brille tragen, extrahiert es keine 3D-Informationen aus der Augenpartie, wenn es die Brille erkennt.'
Ein Angreifer, der versucht, diese Methode in der realen Welt anzuwenden, benötigt ein schlafendes oder bewusstloses Opfer, Zugriff auf das iPhone dieses Opfers, und dann müsste eine Brille über den Augen angebracht werden, ohne die Person aufzuwecken. Es ist erwähnenswert, dass dies keine Situation ist, in die die meisten Menschen wahrscheinlich geraten, und es gibt diesmal auch keine Sekundärforschung zu dieser angeblichen Methode.
Um die Lücke bei der Augenerkennung in Zukunft zu schließen, schlugen die Forscher vor, dass Biometriehersteller die Identitätsauthentifizierung für native Kameras hinzufügen und 'das Gewicht der Video- und Audiosyntheseerkennung erhöhen'.
Apple hat Face ID mit . entwickelt einfache Zugangssperrmaßnahmen für Situationen, in denen eine Person gezwungen oder gezwungen werden könnte, ein iPhone mit Gesichtserkennung. Durch Drücken der Sleep/Wake-Taste eines Face ID-aktivierten iPhone fünfmal in schneller Folge wird ein SOS-Notfallbildschirm angezeigt, der Face ID automatisch deaktiviert und die Eingabe eines Passcodes erfordert, bevor Face ID wieder funktioniert. Das Drücken und Halten der seitlichen/oberen Taste und einer Lautstärketaste funktioniert auch auf dem iPhone und der iPad Pro .
Beliebte Beiträge