Od kiedy pojawiły się pierwsze informacje, że w swoim kolejnym telefonie Apple prawdopodobnie zaimplementuje technologię rozpoznawania twarzy, użytkownicy zastanawiali się czy będzie to bezpieczne. Podczas oficjalnej prezentacji telefonu we wrześniu, firma zapewniała, że rozwiązanie to jest na tyle dopracowane, że jest znacznie lepsze od wcześniej stosowanej metody – Touch ID. Jak pokazały pierwsze proste testy użytkowników, Face ID działa bardzo skutecznie i faktycznie nie dopuszcza do odblokowania telefonu przez niepowołane osoby.
W ostatni piątek wietnamska firma Bkav poinformowała[1], że jej specjaliści stworzyli maskę, która zdołała oszukać Face ID zamontowane w iPhonie X. Całość widoczna jest na poniższym filmie:
Stworzenie maski kosztowało około 150 dolarów. Większa jej część (korpus) został wydrukowany w drukarce 3D, nos przygotowano z silikonu, natomiast elementy takie jak oczy czy usta wydrukowano na standardowej drukarce. Na koniec całość potraktowano odpowiednim makijażem i jak widać na filmie – podziałało.
Mimo zachwytów samych autorów i podkreślania, że Face ID nie jest bezpieczne, byłbym ostrożny w takim podejściu do sprawy. Obecnie wiele popularnych zabezpieczeń biometrycznych może być złamana i przyjmuje pewną granicę błędu zrównoważonego (EER), jednak sposób i środki jakie trzeba zainwestować (nie tylko pieniądze, ale także czas) są na tyle duże, że dla użytkowników te urządzenia są wciąż bezpieczne. Sami autorzy projektu obchodzenia Face ID przyznali, że do przygotowania maski zastosowano bardzo szczegółowe pomiary i cyfrowe skanowanie twarzy. Takich rzeczy nie wykonuje się szybko i przede wszystkim nie zostanie niezauważone przez posiadacza telefonu.
Z tego powodu powyższy eksperyment można póki co traktować jako ciekawostkę. Dopóki odblokowanie telefonu przez atakującego nie będzie możliwe poprzez zastosowanie prostych i mało inwazyjnych metod – ten sposób uwierzytelniania wydaje się być wystarczająco bezpieczny dla większości użytkowników. Osoby zainteresowane innymi metodami uwierzytelniania opartymi o biometrię polecam ten wpis.
[1] https://www.wired.com/story/hackers-say-broke-face-id-security/