I september 2018, en tech watcher var beundransvärt uppriktig:Om du är en normal person, Apple FaceID är i princip säkert, Hon sa. Men så den här teknikbevakaren, Rachel Kraus, skrev in Mashbar att "när jag dimensionerade argumenten för och emot, Jag har motvilligt kommit till slutsatsen att min rädsla för Face ID bara är den minst sagt irrationella...Men det betyder inte i helvete att jag kommer att använda det."

Hon var väl medveten om de pluspoäng som fick Apple- och Apple-fans att bli glada, men hon erkände att hon inte kunde vika sig. "Face ID kan vara bekvämt, och är förmodligen säkert ... Men när det gäller att skydda våra telefoner, våra identiteter, och våra liv, är förmodligen bara inte tillräckligt bra."

Under 2019, du hittar fortfarande tveksamma människor som undrar om den nya tekniken kommer att skapa ökad säkerhet eller en ny attacköppning, och Tencents forskare finner anledning att tänka på det lite svårare.

Vid säkerhetsevenemanget Black Hat U.S. 2019 tidigare denna månad, forskarna väckte intresse för sin session "Biometric Authentication Under Threat:Liveness Detection Hacking."

Som en del av deras diskussion, de sa, de kommer att "introducera vår arsenal av attackerande detektering av livlighet och visa hur man använder dem för att kringgå flera biometriska autentiseringsprodukter från hyllan, inklusive 2-D/3-D ansiktsautentisering och röstutskriftsautentisering. "

Forskarna visade hur man använder glasögon och tejp för att kringgå Apple FaceID.

Tencents framgång förlitade sig på att peta in i en biometrisk funktion som kallas livlighetsdetektering. Hotpost rapporterade om vad Tencent -presentatörerna hade att säga:

"Med läckaget av biometriska data och förbättringen av AI-bedrägeri, Liveness-detektering har blivit akilleshälen för biometrisk autentiseringssäkerhet eftersom det är att verifiera om den biometriska som fångas är en faktisk mätning från den auktoriserade levande personen som är närvarande vid tidpunkten för fångst."

Svart tejp placerades på linserna, och vit tejp inuti den svarta tejpen. "Med det här tricket kunde de sedan låsa upp ett offers mobiltelefon och sedan överföra hans pengar via mobilbetalningsappen genom att placera de tejpfasta glasögonen ovanför det sovande offrets ansikte för att kringgå uppmärksamhetsdetekteringsmekanismen för både FaceID och andra liknande teknologier, "sa Lindsey O'Donnell, Hotpost .

O'Donnell, dock, sa att det bara var en sak, om du trodde att det här var en lätt kapris:Det verkliga offret måste vara kallt. Kall, som i omedvetet. Som i den dåliga skådespelaren som måste sätta glasögonen på personen utan att väcka personen. ("Det är åtminstone lite svårare än att använda en sovande persons finger för att låsa upp Touch ID, " sa Gizmodo är Jennings Brown.)

Vad pågår? Varför förlorade FaceID sin kraft? O'Donnell sa, "abstraktionen av ögat för att upptäcka livlighet ger ett svart område (ögat) med en vit punkt på den (bländaren)." Dock, om en användare bär glasögon, hur livsstilsdetektering skannar ögonen förändras. Om en person bär glasögon, FaceID extraherar inte 3D-information från ögonområdet när det känner igen glasögonen.

Råd från Tencent -presentatörer var att biometriska tillverkare lägger till identitetsautentisering för inbyggda kameror och ökar vikten av detektering av video- och ljudsyntes, sa O'Donnell.

Äpple, under tiden, tillhandahåller sin egen berättelse om FaceID på sin webbplats och det är rimligt att anta att säkerheten har fått hög prioritet:

"Sannolikheten att en slumpmässig person i befolkningen skulle kunna titta på din iPhone eller iPad Pro och låsa upp den med Face ID är ungefär 1 på 1, 000, 000 med ett enda inskrivet utseende, " enligt sin sida "Om FaceID avancerad teknik".

Som ett extra skydd, bara fem misslyckade matchförsök tillåts av FacedD - och då krävs ett lösenord. "Den statistiska sannolikheten är annorlunda för tvillingar och syskon som ser ut som dig och bland barn under 13 år, eftersom deras distinkta ansiktsdrag kanske inte har utvecklats fullt ut. Om du är orolig för detta, Vi rekommenderar att du använder ett lösenord för att verifiera. "

Ändå, Tencent utforskade och rapporterade sina fynd. "Face ID fungerar annorlunda om det upptäcker glasögon. När systemet känner igen glasögon, den hämtar tydligen inte information från ögonområdet i ansiktet, " sa Gizmodo är Jennings Brown.

TNW gick med på, rapportering, "Väl, det visar sig att FaceID skannar ögonen annorlunda när människor bär glasögon. TNW citerade forskarna:"Vi hittade svaga punkter i FaceID." Var? "Det tillåter användare att låsa upp medan de bär glasögon [...] om du bär glasögon, den extraherar inte 3D-information från ögonområdet när den känner igen glasögonen."

En rimlig takeaway är att inställningen för denna bedrift att fungera är inget mindre än bisarr. 9 till 5Mac :"För att låsa upp en annan persons telefon, du verkar behöva ta reda på hur du sätter glasögon på dem och se till att de fortfarande räcker för att Face ID ska fungera. Som forskarna noterar, detta skulle vara mest effektivt när offret är medvetslöst."

Juli Clover, MacRumors , tog upp en annan punkt:"Det är värt att notera att detta inte är en situation som de flesta sannolikt kommer att stöta på, och det finns inte heller någon sekundär forskning om denna påstådda metod den här gången. "

En läsare kommenterar MacRumors :"Det här är lite av en räckvidd. Jag tror att Face ID att bli lurad av en sådan löjlig omständighet bara visar hur hårt de har försökt att "bryta" det —"

Å andra sidan, forskningen visar svagheter bakom utformningen av livstidsdetektering.

© 2019 Science X Network