Quando a Apple anunciou o Face ID, ela explicou que se trata de um reconhecimento facial 3D — ele não pode ser enganado com fotos do seu rosto. No entanto, o sistema não é infalível: gêmeos podem desbloquear o iPhone X um do outro, por exemplo.

Segundo a empresa vietnamita de segurança Bkav, também é possível burlar o Face ID usando uma máscara parcial combinando plástico impresso em 3D, silicone, maquiagem e recortes de papel. No total, eles gastaram US$ 150 em materiais (sem contar a impressora 3D).

Só que o processo para criar essa máscara é bem difícil. A técnica exige uma medição detalhada do rosto, ou um escaneamento digital, do dono do iPhone X. Os pesquisadores dizem ter usado um scanner portátil que exigia cerca de cinco minutos de varredura manual do rosto.

Além disso, segundo a Wired, a equipe fez outras quatro máscaras que não conseguiram enganar o iPhone X — isso só deu certo na quinta iteração. O Face ID é desativado automaticamente após cinco tentativas incorretas.

Ainda assim, a técnica “Missão: Impossível” dos pesquisadores é interessante. Neste vídeo, um dos funcionários da Bhav puxa um pano cobrindo uma máscara voltada para um iPhone X, e o celular é desbloqueado instantaneamente.

Alguns ficaram céticos por não terem visto o cadeado na tela de bloqueio se abrir. Mas, como explica a própria Apple neste vídeo, você pode deslizar a tela para cima enquanto o Face ID faz o reconhecimento facial, para um desbloqueio mais rápido.

A Bhav também diz à Wired que usou apenas o rosto do seu funcionário — e não a máscara — para treinar o reconhecimento facial. Depois de criar uma máscara que fosse capaz de enganar o Face ID, eles voltaram a registrar o rosto do funcionário no iPhone X de testes para não enviesar os resultados.

Restam algumas dúvidas, no entanto. Em especial, a Bhav usou uma máscara com olhos 2D fixos. Como isso enganou o Face ID? Afinal, ele “reconhece se seus olhos estão abertos e olhando em direção ao dispositivo”, explica a Apple. A empresa planeja revelar mais detalhes em uma conferência ainda esta semana.

Ainda assim, a Bhav reconhece que o alcance dessa técnica é limitado. “Os alvos potenciais não devem ser usuários comuns; mas os bilionários, líderes de grandes corporações, líderes nacionais e agentes do FBI precisam entender o problema do Face ID”, escrevem os pesquisadores.

Provavelmente é mais fácil desbloquear o iPhone X pegando o aparelho e apontando para o rosto do dono, ou forçando-o a ceder a senha numérica.

Com informações: Wired, Engadget.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Maicon Bruisma
Aham, autentica com o cu. Daqui a pouco vai dizer que o leitor de digitais autentica com o joelho
Daniel R. Pinheiro
Já existe uma IA que cria uma forma 3D de um rosto com uma simples foto. É basicão, feito por universitários, mas já dá pra se ter uma ideia. http://cvl-demos.cs.nott.ac.uk/vrn/ Magina uma coisinha um pouquinho mais complexa, utilizado por profissionais. Meldels, vocês subestimam demais os protocolos de quebra de segurança que existem pra determinados tipos de tecnologias.
Bruno
Daniel, é quase impossível criar uma máscara fiel somente com uma foto 2D, nem com diversas fotos de todos os ângulos do rosto seria possível. Você precisaria de um mapeamento 3D completo do rosto e mesmo assim poderia não funcionar. Por isso fizeram com um molde colocado no rosto do cara, só assim para conseguir burlar. É muito mais fácil conseguir uma digital por fotos, do que um rosto com toda a profundidade necessária e proporções exatas.
Daniel R. Pinheiro
Mas é exatamente o que eu estou querendo dizer. Alguém com tecnologia suficiente (até por que não é qualquer papangu que se atreveria a querer burlar tanto o Face ID como o Touch ID) pode produzir uma máscara fiel usando uma simples foto... É simples cara. Supondo que eu sou um hacker. Obviamente eu teria à minha disposição diversas tecnologias de quebra de segurança (ainda mais agora com essa moda de modelamento 3D, é rapidíssimo o desenvolvimento de tecnologias que quebram esse protocolo). Se eu pego o seu iPhone X e o seu iPhone 7 Plus, seria menos difícil para mim produzir uma máscara pegando um compilado de fotos suas na internet, que conseguir uma cópia da sua digital. Entende o que eu to dizendo? Eu não estou discutindo a tecnologia em si (qual a tecnologia mais segura), mas a situação como um todo.
Burnerman_X
É tão difícil de burlar, que não autentica nem com a íris de verdade as vezes.
André Dias
Novamente acho que você não entendeu a tecnologia. FaceID não é reconhecimento fácil por fotos, mas por mapeamento de pontos com profundidade.
Daniel R. Pinheiro
Tá, mas esse exemplo ainda não me foi convincente. Qual a probabilidade de eu encontrar uma digital de alguém em alta resolução (se é o o único método, ou o "mais fácil" de se conseguir uma digital para reprodução) em comparação com encontrar uma foto do rosto?
André Dias
Ok, então vai um exemplo básico de pesquisa Alemã que mostra o quão mais simples é burlar uma impressão digital: “No dia 27 de dezembro de 2014, o pesquisador Jan Krissler disse a uma plateia de hackers, em Hamburgo, na Alemanha, que poderia se passar pela secretária de Defesa do país, Ursula von der Leyen. Ninguém sabia o que esperar. De laptop em mãos, ele recolheu na internet fotos em alta resolução da secretária, colocou as imagens em um software de edição e recortou detalhes que mostravam as mãos de Ursula. Com poucos cliques, recriou uma imagem da digital do polegar da ministra. Em seguida, imprimiu a imagem e a colou em um molde de madeira que imitava um dedo em tamanho real. “Pronto”, disse. Com a imitação, poderia se passar pela chefe da Defesa alemã perante dezenas de sistemas de segurança, de celulares a bancos.“ http://jankrissler.blogspot.com.br/2016/09/hacker-fakes-german-ministers.html Este é um exemplo entre varios disponíveis na rede. Tem outros varios de agências de Gerência de Riscos. O que estou querendo dizer é: o TouchID é seguro? Sim. O FaceID é menos seguro? Não. Mesmo os métodos de burlar o FaceID são muito mais complexos que métodos para burlar o TouchID. E ambos ainda são travados por senha caso 5 tentativas não derem certo.
Sivaldo Ferreira
Tb fiquei cético com o modo de desbloqueio, eles poderiam muito bem ter sacaneado essa máscara e o fato do cadeado não ter aparecido me intriga. Mas o texto no final é o que me deixou mais p.. da vida o Face id não é tão seguro como a Apple anunciou, sou sincero quero mais provas vídeos mais precisos pq esse aí digo mais uma vez pode ter scaneado a máscara.
Sid

Legal saber disso.

Sidney Piesco
Legal saber disso.
Daniel R. Pinheiro
"ele calcula um algoritmo das diferenças possíveis encontradas."
Por isso ele é menos seguro que o Touch ID, uma vez que ele pode ser "burlado", usando uma máscara semelhante ao rosto do usuário. Já adiantando: tudo bem que pra fazer uma reprodução 3D de um rosto é difícil, mas mais difícil ainda é fazer uma reprodução de uma impressão digital. E eu também não estou usando de achismo, mas de lógica em cima dos fatos. FATO 1: O Face ID armazena um novo rosto ao ver que se trata de uma semelhança, por mais grande que seja (gêmeos, máscara, etc), isso já prova que podemos abrir uma brecha. FATO 2: O contrário do leitor biométrico, que não "armazena" um "novo dedo", a menos que você primeiro o desbloqueie com a digital já cadastrada. Isto é, se eu pegar o seu iPhone X, as chances de eu desbloqueá-lo reproduzindo uma máscara fiel são menos difíceis do que eu desbloquear o seu iPhone 7 Plus com o leitor biométrico. Simples.
Vitor Mikaelson
Até agora, nenhum problema com gêmeos ou irmãos... Agora, sobre essa mascara, não faço ideia.
André Dias
2x1 em ambiente controlado é consideravelmente menor do que 50k em ambiente desconhecido. Fácil descobrir que foi seu irmão, e por mais que isso seja um roubo é de fácil identificação jurídica e policial. Agora em ambiente desconhecido, aumentar 50mil para 1mi, mesmo que não seja isso tudo, que sejam 100k para 1, já é ganho de segurança.
André Dias
São estudos que ambas apresentam, porem são embasados por instituições financeiras também. Trabalho com desenvolvimento e junto à alguns bancos nacionais e outros estrangeiros. Nenhum deles aprovariam um Apple Pay ou Samsung Pay sem garantias estatísticas de segurança. O que quero dizer é que não existe ambiente 100% seguro, mas os relatórios estatísticos de segurança e seguradoras sobre ambos da mais pontos para o FaceID. Veja bem, estou neutro nisso. Uso tanto X quanto Note 8. Como desenvolvedor nesta área sou obrigado a fazer estas análises.
Exibir mais comentários