Zwykłe okulary odblokują prawie każdego iPhone’a z Face ID

9 sierpnia, 2019

Urządzenia Apple są znane ze solidnych zabezpieczeń. Między innymi dlatego cieszą się tak dużym zainteresowaniem. Najświeższe informacje ze świata IT nakazują z rezerwą podchodzić do tych faktów. Przeze wszystkim dlatego, że izraelska firma Cellebrite ogłosiła wszem i wobec, że jest w stanie zhackować KAŻDEGO iPhone’a, niezależnie od wersji systemu operacyjnego. Urządzenia z Androidem również są w kręgu zainteresowań ekspertów z Izraela. O Cellebrite i ich narzędziach UFED do przełamywania zabezpieczeń Apple, pisaliśmy w artykułach pt.:

Niestety takie urządzenie jak UFED może kupić każdy na eBay. Nie będzie tak funkcjonalne jak licencja za kilkadziesiąt, kilkaset tysięcy dolarów, ale rzecz w tym, że doszło do tego, iż nawet mała firma świadcząca usługi detektywistyczne, odzyskiwania danych, będzie mogła zaoferować klientom ekstrakcję informacji z urządzeń Apple. Smutne, ale prawdziwe.

Użytkownicy urządzeń Apple nie mogą już polegać wyłącznie na domyślnych zabezpieczeniach. Trzeba zacząć szyfrować informacje, które wychodzą z telefonu za pomocą komunikatora odpornego na ekstrakcję danych.

Black Hat 2019 — oszukiwanie Face ID zwykłymi okularami

W tym roku na konferencji Black Hat 2019 w Las Vegas badacze z Tencent Security pokazali, że da się odblokować iPhone’a, jeżeli urządzenie ma aktywowane Face ID, czyli uwierzytelnianie przy użyciu technologii szczegółowo odwzorowującej geometrię twarzy. W tym wszystkim jest mały haczyk, bowiem aby odblokować urządzenie, trzeba zmusić ofiarę (nie będzie to trudne w pewnych scenariuszach), aby założyła takie okulary:

Zwykłe, zmodyfikowane okulary.

Na soczewki naklejono zwykłą czarną taśmę z białym, malutkim kwadratem. Czarna taśma symuluje oko, a kwadrat tęczówkę. Badacze zauważyli, że kiedy użytkownik nosi okulary, FaceID skanuje oczy, a nie całą twarz, ponieważ technologia ma problemy z rozpoznaniem informacji trójwymiarowych z okolic oczu.

Łącząc te dwie zależności okulary można założyć śpiącej osobie i odblokować smartfon. Można też użyć metod siłowych… Pozwoli to uzyskać pełny dostęp do smartfonu i wykonać inne operacje, ale do czasu, kiedy np. aplikacja bankowa poprosi o odcisk palca, aby uwierzytelnić użytkownika.

FaceID to technologia, która skanuje całą geometrię twarzy. Uczy się rozpoznawać człowieka, porównując np. szum tła na obiektywnie przedniego aparatu, zniekształcenia reakcji albo rozmycia ostrości obrazu. Używa maszynowego uczenia i na podstawie miliardów skanowań każdego dnia, czyni pewne postępy. Z generacji na generację może robić to lepiej. W tej chwili FaceID nie jest jeszcze technologią dopracowaną i odporną na „ataki”.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]