Início » Mobile » É bem difícil burlar o Face ID do iPhone X usando uma máscara

É bem difícil burlar o Face ID do iPhone X usando uma máscara

Por
13/11/2017 às 17h14
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Quando a Apple anunciou o Face ID, ela explicou que se trata de um reconhecimento facial 3D — ele não pode ser enganado com fotos do seu rosto. No entanto, o sistema não é infalível: gêmeos podem desbloquear o iPhone X um do outro, por exemplo.

Segundo a empresa vietnamita de segurança Bkav, também é possível burlar o Face ID usando uma máscara parcial combinando plástico impresso em 3D, silicone, maquiagem e recortes de papel. No total, eles gastaram US$ 150 em materiais (sem contar a impressora 3D).

Só que o processo para criar essa máscara é bem difícil. A técnica exige uma medição detalhada do rosto, ou um escaneamento digital, do dono do iPhone X. Os pesquisadores dizem ter usado um scanner portátil que exigia cerca de cinco minutos de varredura manual do rosto.

Além disso, segundo a Wired, a equipe fez outras quatro máscaras que não conseguiram enganar o iPhone X — isso só deu certo na quinta iteração. O Face ID é desativado automaticamente após cinco tentativas incorretas.

Ainda assim, a técnica “Missão: Impossível” dos pesquisadores é interessante. Neste vídeo, um dos funcionários da Bhav puxa um pano cobrindo uma máscara voltada para um iPhone X, e o celular é desbloqueado instantaneamente.

Alguns ficaram céticos por não terem visto o cadeado na tela de bloqueio se abrir. Mas, como explica a própria Apple neste vídeo, você pode deslizar a tela para cima enquanto o Face ID faz o reconhecimento facial, para um desbloqueio mais rápido.

A Bhav também diz à Wired que usou apenas o rosto do seu funcionário — e não a máscara — para treinar o reconhecimento facial. Depois de criar uma máscara que fosse capaz de enganar o Face ID, eles voltaram a registrar o rosto do funcionário no iPhone X de testes para não enviesar os resultados.

Restam algumas dúvidas, no entanto. Em especial, a Bhav usou uma máscara com olhos 2D fixos. Como isso enganou o Face ID? Afinal, ele “reconhece se seus olhos estão abertos e olhando em direção ao dispositivo”, explica a Apple. A empresa planeja revelar mais detalhes em uma conferência ainda esta semana.

Ainda assim, a Bhav reconhece que o alcance dessa técnica é limitado. “Os alvos potenciais não devem ser usuários comuns; mas os bilionários, líderes de grandes corporações, líderes nacionais e agentes do FBI precisam entender o problema do Face ID”, escrevem os pesquisadores.

Provavelmente é mais fácil desbloquear o iPhone X pegando o aparelho e apontando para o rosto do dono, ou forçando-o a ceder a senha numérica.

Com informações: Wired, Engadget.

  • Daniel R. Pinheiro

    Como eu disse noutro site, se você desbloqueá-lo com o PIN, ele armazena temporariamente uma face secundária, se for semelhante ao padrão, como o rosto de um gêmeo ou uma máscara.

    O telefone assume que, uma vez que você conhece o PIN, você é o proprietário do telefone e pensa que seu rosto mudou um pouco, então ele registra o novo rosto automaticamente. Que convenhamos, isso pode dar uma brecha de segurança brutal. Bastando saber o PIN que você colocou, ao olhar você o fazendo e é sal…

    De qualquer forma, não sabemos se as pessoas desse video desbloquearam o telefone com o PIN na frente da máscara ou não. Se o fizeram, esse teste é irrelevante. Se não o fizeram, isso prova, de fato, que não é tão seguro como afirmado.

    Um bom sensor de impressão digital provavelmente teria sido uma solução muito melhor.

    • André Dias

      O sensor impressão digital tem uma taxa de 50mil x 1 enquanto o FaceID tem uma taxa de 1mi x 1. Mesmo que o FaceID seja menos preciso do que o anunciado, ele é superior ao primeiro. O que não dá é para fazer como a LG e Samsung que analisam um “desenho” de face. Veja bem, não estou falando do leitor de íris, mas sim do reconhecimento facial.
      Mesmo o leitor de íris do S8 e Cia não tem uma taxa de acertos tão grande. É superior a impressão digital, mas inferior ao FaceID.

      • Maicon Bruisma

        Espero que você tenha testado os dois

        • André Dias

          Sim, sou desenvolvedor e tenho iPhone X, iPhone 7 Plus, Motorola Z Play, Galaxy Note 8. Uso mais o X e o Note 8 como celulares pessoal e de trabalho.

      • André Silva

        50 mil x 1 já é um número muito maior que 2 x 1 de irmãos gêmeos desbloqueando com FaceId.

        • Sidney Piesco

          Tem razão. Será que isso entrou na estatística?

        • André Dias

          2×1 em ambiente controlado é consideravelmente menor do que 50k em ambiente desconhecido. Fácil descobrir que foi seu irmão, e por mais que isso seja um roubo é de fácil identificação jurídica e policial.

          Agora em ambiente desconhecido, aumentar 50mil para 1mi, mesmo que não seja isso tudo, que sejam 100k para 1, já é ganho de segurança.

      • Daniel R. Pinheiro

        o FaceID tem uma taxa de 1mi x 1

        O que não deixa de ser mais inseguro, pelas justificativas que eu apresentei.

        • André Dias

          Não entendi…
          O FaceID não armazena um novo rosto ao entrar com seu ID, ele calcula um algoritmo das diferenças possíveis encontradas. Isso é cálculo de probabilidade aritmética e não simplesmente substituição de dados ou troca de uma “imagem” para outra.
          Veja bem, não estou defendendo por simples achismos. Existe base documental sobre as diferenças de tecnologia.

          • Daniel R. Pinheiro

            “ele calcula um algoritmo das diferenças possíveis encontradas.”

            Por isso ele é menos seguro que o Touch ID, uma vez que ele pode ser “burlado”, usando uma máscara semelhante ao rosto do usuário.

            Já adiantando: tudo bem que pra fazer uma reprodução 3D de um rosto é difícil, mas mais difícil ainda é fazer uma reprodução de uma impressão digital. E eu também não estou usando de achismo, mas de lógica em cima dos fatos.

            FATO 1: O Face ID armazena um novo rosto ao ver que se trata de uma semelhança, por mais grande que seja (gêmeos, máscara, etc), isso já prova que podemos abrir uma brecha.

            FATO 2: O contrário do leitor biométrico, que não “armazena” um “novo dedo”, a menos que você primeiro o desbloqueie com a digital já cadastrada.

            Isto é, se eu pegar o seu iPhone X, as chances de eu desbloqueá-lo reproduzindo uma máscara fiel são menos difíceis do que eu desbloquear o seu iPhone 7 Plus com o leitor biométrico.

            Simples.

          • André Dias

            Ok, então vai um exemplo básico de pesquisa Alemã que mostra o quão mais simples é burlar uma impressão digital:

            “No dia 27 de dezembro de 2014, o pesquisador Jan Krissler disse a uma plateia de hackers, em Hamburgo, na Alemanha, que poderia se passar pela secretária de Defesa do país, Ursula von der Leyen. Ninguém sabia o que esperar. De laptop em mãos, ele recolheu na internet fotos em alta resolução da secretária, colocou as imagens em um software de edição e recortou detalhes que mostravam as mãos de Ursula. Com poucos cliques, recriou uma imagem da digital do polegar da ministra. Em seguida, imprimiu a imagem e a colou em um molde de madeira que imitava um dedo em tamanho real. “Pronto”, disse. Com a imitação, poderia se passar pela chefe da Defesa alemã perante dezenas de sistemas de segurança, de celulares a bancos.“

            http://jankrissler.blogspot.com.br/2016/09/hacker-fakes-german-ministers.html

            Este é um exemplo entre varios disponíveis na rede. Tem outros varios de agências de Gerência de Riscos.

            O que estou querendo dizer é: o TouchID é seguro? Sim. O FaceID é menos seguro? Não. Mesmo os métodos de burlar o FaceID são muito mais complexos que métodos para burlar o TouchID.
            E ambos ainda são travados por senha caso 5 tentativas não derem certo.

          • Daniel R. Pinheiro

            Tá, mas esse exemplo ainda não me foi convincente. Qual a probabilidade de eu encontrar uma digital de alguém em alta resolução (se é o o único método, ou o “mais fácil” de se conseguir uma digital para reprodução) em comparação com encontrar uma foto do rosto?

          • André Dias

            Novamente acho que você não entendeu a tecnologia. FaceID não é reconhecimento fácil por fotos, mas por mapeamento de pontos com profundidade.

          • Daniel R. Pinheiro

            Mas é exatamente o que eu estou querendo dizer. Alguém com tecnologia suficiente (até por que não é qualquer papangu que se atreveria a querer burlar tanto o Face ID como o Touch ID) pode produzir uma máscara fiel usando uma simples foto…

            É simples cara. Supondo que eu sou um hacker. Obviamente eu teria à minha disposição diversas tecnologias de quebra de segurança (ainda mais agora com essa moda de modelamento 3D, é rapidíssimo o desenvolvimento de tecnologias que quebram esse protocolo). Se eu pego o seu iPhone X e o seu iPhone 7 Plus, seria menos difícil para mim produzir uma máscara pegando um compilado de fotos suas na internet, que conseguir uma cópia da sua digital.

            Entende o que eu to dizendo? Eu não estou discutindo a tecnologia em si (qual a tecnologia mais segura), mas a situação como um todo.

          • Bruno

            Daniel, é quase impossível criar uma máscara fiel somente com uma foto 2D, nem com diversas fotos de todos os ângulos do rosto seria possível. Você precisaria de um mapeamento 3D completo do rosto e mesmo assim poderia não funcionar. Por isso fizeram com um molde colocado no rosto do cara, só assim para conseguir burlar.
            É muito mais fácil conseguir uma digital por fotos, do que um rosto com toda a profundidade necessária e proporções exatas.

          • Daniel R. Pinheiro

            Já existe uma IA que cria uma forma 3D de um rosto com uma simples foto. É basicão, feito por universitários, mas já dá pra se ter uma ideia.
            http://cvl-demos.cs.nott.ac.uk/vrn/

            Magina uma coisinha um pouquinho mais complexa, utilizado por profissionais. Meldels, vocês subestimam demais os protocolos de quebra de segurança que existem pra determinados tipos de tecnologias.

      • Sidney Piesco

        André, você tem esses dados de algum estudo independente ou segue o que a Samsung e a Apple falam? Lembre-se que elas podem não dizer toda a verdade.
        Exemplos:
        No caso do Note 7 a Samsung demorou um tempão para dizer que o aparelho tinha falha mesmo sabendo que tinha
        No caso da Apple ela costuma colocar a culpa nos usuários por suas falhas.
        Como acreditar em dados que essas empresas nos passam?

        • André Dias

          São estudos que ambas apresentam, porem são embasados por instituições financeiras também. Trabalho com desenvolvimento e junto à alguns bancos nacionais e outros estrangeiros. Nenhum deles aprovariam um Apple Pay ou Samsung Pay sem garantias estatísticas de segurança.

          O que quero dizer é que não existe ambiente 100% seguro, mas os relatórios estatísticos de segurança e seguradoras sobre ambos da mais pontos para o FaceID.

          Veja bem, estou neutro nisso. Uso tanto X quanto Note 8. Como desenvolvedor nesta área sou obrigado a fazer estas análises.

          • Sidney Piesco

            Legal saber disso.

  • Bernardo

    Hoje não há nada disponível no mercado de smartphones que possa rivalizar com o Face ID. E sejamos honestos, todos os outros mecanismos de desbloqueio facial são incrivelmente simples de burlar uma vez que a tecnologia embarcada ainda é bastante rudimentar. O Face ID pode não ser perfeito mas ainda assim diferente dos outros é bastante seguro para ser utilizado no dia a dia.

    • “Hoje não há nada disponível no mercado de smartphones que possa rivalizar com o Face ID”
      E aqui crianças, temos um espécime chamado Informations nulis, que tem esse nome por que além de não pesquisar a respeito do que fala, ainda espalha informações incorretas.

      • E aqui vemos um exemplo de um típico comentário de internet, que ironiza e ridiculariza o outro de graça, e ainda por cima não apresenta exemplos e/ou contra argumentos.

        • Rafael

          tupish 💥

    • Paul

      Eu ia citar o Windows Hello(para abordagem geral do sistema de reconhecimento e tals), mas já que vc falou do mercado de smartphones…
      É, ñ tem msm.

    • Maicon Bruisma

      Desculpa mas leitor de íris é bem mais difícil de conseguir burlar que o face id, simplesmente pq é necessário uma foto de alta resolução do olho, e isso requer uma imagem muito próxima. No caso do face id não.

      • Rafael

        Como pode uma foto de alta resolução do olho de alguém ser mais difícil de conseguir do que construir uma máscara a partir de um scanner que precisa de cinco minutos fixo no rosto da pessoa, ter as partes juntadas, misturar colagens com fotografias?

        • Sidney Piesco

          Acho que nesse caso, como usaram um scanner manual precisaram de 5 minutos. Mas acredito que já tenha tecnologia disponível para criar um rosto perfeito a partir de imagens feitas de uma pessoa mesmo à distância. Mas é uma tecnologia muito cara e que não devia estar disponível para essa empresa.
          Mas, cá entre nós, o que isso afeta a gente? Até pouco tempo eu nem usava bloqueio no meu celular.

      • Burnerman_X

        É tão difícil de burlar, que não autentica nem com a íris de verdade as vezes.

        • Maicon Bruisma

          Aham, autentica com o cu. Daqui a pouco vai dizer que o leitor de digitais autentica com o joelho

    • Sidney Piesco

      Não sei não. Acho que o reconhecimento de iris é tão seguro quanto o face id. Todos tem falhas.

  • Gustavo Michels

    Não sei o porque do povo achando graça, S8 aconteceu a mesma coisa e o MIMIMI foi menor até que a Samsung teve que pedir para ninguem usar o reconhecimento facial kkkk

    • kkkkkkkkk

    • Lucas Henrique

      Mas, quando vc cadastra seu rosto, fala que não é seguro.

    • Jonas S. Marques

      Reconhecimento facial é uma coisa, reconhecimento de Iris é outra bem diferente. Reconhecimento facial existe no Android a pelo menos 5 anos que me lembre.

      • Islan Oliveira

        O reconhecimento facial existente no Android é bem inferior ao do iPhone X. Lembro que quando testei no passado, consegui desbloquear com uma foto e a opção de precisar verificar movimento dos olhos pra garantir que não seja uma foto tira toda a praticidade da opção.

        • Jonas S. Marques

          Óbvio que sim, não tem sensor dedicado pra isso, não e para garantir segurança, é um tipo de desbloqueio não seguro “A pessoa pode optar por este, deslizar na tela ou nenhum”.

  • Thiago

    Queriqa saber como quão seguro o face id é em relação ao desbloquio por iris do s8 e note 8

    • Tantão quanto igual. Somente especialistas do tipo conseguirão desbloquear seu dispositivo. Agora o quão pratico seria o Face ID funciona no escuro com mais facilidade.

  • Cortana ✔

    Alguém já burlou o Windows Hello?

    • Hey Cortana, stop now.

      Brincadeira, hahahaha… Não tentei verificar se existe esse tipo de “brecha”, mas acredito que deva ser algo semelhante ao Galaxy S8 da Samsung… :/

      • Até agora, nenhum problema com gêmeos ou irmãos… Agora, sobre essa mascara, não faço ideia.

  • Lucas Henrique

    Digamos, que os testes que a Apple fez com mascaras de Hollywood não incluiu essa?

  • Sidney Piesco

    O reconhecimento facial do iPhone X é quase perfeito, mas não é perfeito porque não existe nada 100% seguro em tecnologia. O recolhecimento por iris também é quase perfeito, principalmente porque os usuários de S8 ou Note 8 (como eu) deixam mais de uma função habilitada. O meu tem o PIN, o reconhecimento por iris e a biometria. Qualquer um abre o aparelho. mas eu não me preocupo porque o estrago não seria tão grande. Não sou milionário, agente do FBI ou líder nacional.
    Acho muito neurose em cima de uma coisa tão pequena. Para mim o importante é o aparelho funcionar depois que eu desbloqueio.

  • Sidney Piesco

    Eu estou vendo uma discussão danada sobre qual bloqueio é mais seguro, mas 99% aqui só está preocupado se a esposa ou namorada consegue desbloquear o aparelho. O resto nem usa bloqueio…kkkkkk

  • Sivaldo Ferreira

    Tb fiquei cético com o modo de desbloqueio, eles poderiam muito bem ter sacaneado essa máscara e o fato do cadeado não ter aparecido me intriga.
    Mas o texto no final é o que me deixou mais p.. da vida o Face id não é tão seguro como a Apple anunciou, sou sincero quero mais provas vídeos mais precisos pq esse aí digo mais uma vez pode ter scaneado a máscara.