Alla conferenza di sicurezza Black Hat USA di Las Vegas, i ricercatori di Tencent hanno dimostrato un metodo che consente di eludere le restrizioni del Face ID semplicemente utilizzando un paio d’occhiali, del nastro adesivo e una “vittima non cosciente.” Signore e signori, ecco il primo, vero tallone d’Achille della scansione biometrica di Cupertino.
[related layout=”big” permalink=”https://www.melablog.it/post/207197/face-id-due-volti”][/related]
Lo scopo della ricerca era di provare la possibilità di ingannare i sensori biometrici che, almeno sulla carta, dovrebbero essere in grado di distinguere un soggetto vivo, vegeto e attento, da uno non cosciente o peggio fasullo.
Si chiama tecnicamente “Liveness detection” e consiste nell’analisi del rumore di fondo e della distorsione della risposta di fuoco; una serie di impercettibili variazioni che però permettono ad una macchina di capire se hanno di fronte un essere vivente o una maschera; a cui si aggiunge il “Rilevamento dello Sguardo” di Apple che blocca tutto se l’attenzione dell’utente non è concentrata sul display.
Il trucco è semplice: su un paio di occhiali sono stati apposti due pezzetti di nastro adesivo su cui sono disegnate due pupille finte che simulano lo sguardo; poi, è bastato piazzare gli occhiali sul naso di una vittima dormiente, perché iPhone desse accesso a tutti i suoi dati, compresi quelli di pagamento.
Il problema nasce dal fatto che, quando si indossano occhiali, il Face ID si comporta in modo diverso e smette di reperire le informazioni 3D dell’area perioculare. Ovviamente, perché la cosa funzioni si rende comunque necessaria la presenza fisica dell’utente, cosa che rende il tutto molto più complicato da gestire, ma non impossibile se le motivazioni sono adeguate.
E comunque, non ci sono stati ancora studi secondari che confermino questa scoperta clamorosa; ad Apple e le società high-tech, i ricercatori consigliano di “aumentare il peso del rilevamento della sintesi audio e video” così da mitigare il buco di sicurezza.
In ogni caso, non dimenticate che Apple ha creato una feature di emergenza che può adattarsi anche a casi come questi: basta premere 5 volte di seguito il pulsante di accensione di iPhone perché si avvii la schermata di SOS e venga disabilitato il Face ID; da quel momento in poi, verrà chiesto il codice alfanumerico di sblocco.