Zabezpieczenia iPhone X. Wietnamczycy zadrwili z Apple

Zabezpieczenia iPhone X. Wietnamczycy zadrwili z Apple13.11.2017 17:08
Źródło zdjęć: © Youtube.com

Łańcuch jest tak silny, jak jego najsłabsze ogniwo – zasada stara, znana i szczególnie istotna w branżach zajmujących się bezpieczeństwem. Rozpoznawanie twarzy miało sprawić, że iPhone X nie mógł być odblokowany przez zdjęcie czy nawet odlew twarzy właściciela. Wietnamska firma Bkav udowodniła, że może być inaczej.

Maska prawie jak twarz
Face ID, autorskie rozwiązanie firmy z Cupertino, zostało opracowane przy pomocy sieci neuronowych, które "uczono" i "trenowano" do tego, by potrafiły odróżnić prawdziwą twarz od maski czy zdjęcia. Face ID ma je odróżniać między innymi dzięki umiejętności mapowania twarzy użytkownika i nakładania na nią siatki składającą się z 30 tysięcy punktów. Dopiero po stworzeniu modelu 3D twarzy, iPhone sprawdza, czy pasuje do zapamiętanego wzoru.

Jednak wietnamska firma Bkav postanowiła sprawdzić, czy faktycznie system jest tak dokładny. Zajmujące się cyberbezpieczeństwem przedsiębiorstwo przygotowało specjalną maskę, na którą składa się makieta 3D, makijaż oraz dwuwymiarowe fotografie i silikonowy nos. Na poniższym wideo zaprezentowano, jak maska działa w praktyce.

Sam koszt przygotowania makiety zamknął się w 150 dolarach – około 600 złotych to niewielka cena za rozbrojenie takiej technologii. Bkav nie byli oczywiście pierwsi, którzy wpadli na taki pomysł. Część recenzji jubileuszowego iPhone’a polegały między innymi na tym, by przy pomocy masek, zdjęć, a nawet bliźniaków sprawdzić umiejętności Face ID. Jednak dopiero pracownicy wietnamskiej firmy potrafili złamać zabezpieczenie, dodatkowo je dokumentując.

Ci, którzy już są gotowi wyśmiać rozwiązanie zaproponowane przez Apple, muszą się jeszcze powstrzymać z pisaniem ironizujących komentarzy. Po pierwsze, twórcy maski sami przyznali, że powtórzenie ich eksperymentu w domowych warunkach byłoby wyjątkowo skomplikowane, a samo złamanie miało wykazać, że to możliwe, co nie oznacza jednak, że łatwe. Po drugie, już podczas prezentacji iPhone X we wrześniu szef inżynierów Apple Phil Schiller przyznał, że nie istnieje idealny system biometryczny, który zapewni maksymalną ochronę. Dodał, że szansa na oszukanie Face ID wynosi jeden do miliona. Natomiast rozpoznawanie palca, czyli system Touch ID w Apple, dawał się oszukać raz na 50 tysięcy przypadków.

Każdy rodzaj biometrii – palca, głosu, twarzy – da się złamać. Są to systemy oparte na probabilistyce i statystyce. Jeśli chcielibyśmy mieć pewność, ze nikt nie złamie tego systemu, to nikogo nie powinniśmy do niego dopuszczać. Nawet właściciela. A jeśli chcemy mieć system skuteczny w 100 proc., to odwrotnie – przy wejściu na konto musimy wpuszczać wszystkich. W systemach biometrycznych chodzi o to, żeby skonfigurować je w taki sposób, by przy akceptowalnym prawdopodobieństwie ryzyka włamania osiągać wysoką skuteczność systemu. Jeśli ktoś twierdzi, że biometria jest bezpieczna w 100 proc. – kłamie

Łukasz Dyląg

Prezes VoicePIN.com

Na odlew palca
Skoro jesteśmy przy poprzedniej metodzie weryfikacji w iPhone’ach, rozpoznawanie odcisków palca również miało długą i niechlubną tradycję. Bowiem zarówno przyciski w telefonach generacji piątej oraz szóstej okazywały się podatne na oszustwa.
Pod względem technologicznym, Touch ID można było łatwiej oszukać.

Ponieważ system rozpoznaje trójwymiarowy odcisk naszego palca, pasjonaci łamania zabezpieczeń najpierw przygotowali dokładną fotografię odcisku palca, którą później drukowano metodą laserową na specjalnej lateksowej powierzchni. Tyle z łatwej części. Zdjęcie musiało być wysokiej jakości, toner ustawiony na odpowiedni rodzaj drukowania , potrzebny był też odpowiedni rodzaj lateksu lub kleju do drewna. BlogerMarc Rogers, który złamał Touch ID w piątej i szóstej generacji urządzeń, trafnie podsumował swoje doświadczenie z Touch ID w iPhone 6:

"Tak jak u poprzednika, sensor Touch ID w tym modelu da się shakować. Nie jest to jednak koniec świata. Atak tą metodą wymaga odpowiednich umiejętności, cierpliwości i naprawdę dobrej kopii odcisku palca –stara plama nie wystarczy. Do tego proces zamiany zdjęcia w używalną kopie jest na tyle skomplikowany, że to mało prawdopodobne, by na ten atak były narażone postronne osoby. Należy spodziewać się ukierunkowanego ataku, przeprowadzonego przez osobę o dużych zdolnościach."

Później autor wpisu przedstawił wyjątkową adekwatną metaforę: zamki w drzwiach nie są zakładane dlatego, że dla włamywaczy stanowią przeszkodę nie do przebicia. Są po prostu na tyle efektywne i wygodne, że radzą sobie z większością najpopularniejszych zagrożeń. Można oczywiście kontrolować je przez apkę w ramach Internetu Rzeczy, ale to raczej ewolucja niż rewolucja. Tak samo możemy myśleć o Face ID – rozwija ono właściwości Touch ID, zastępując palec twarzą, zwiększając przy okazji poziom trudności w jego ominięciu. Ostatecznie o to przecież chodzi – nie da się w końcu stworzyć rozwiązania idealnego.

- System biometrii to nie tylko bezpieczeństwo, ale i user experience. To nic dziwnego, że ktoś potrafi złamać to zabezpieczenie. Ale dla normalnego użytkownika liczy się doświadczenie z korzystania z telefonu. Sama próba włamania na urządzenie to też problem. Po pierwsze, trzeba go ukraść. Po drugie, trzeba dołożyć niełatwych starań by zdobyć zdjęcie twarzy lub próbkę głosu – to są dodatkowe koszty. Na rozpoznawanie twarzy trzeba patrzyć pod kątem tego, że jest wygodniejsze dla ludzi niż na przykład wpisywanie PIN-u, który też przecież można podpatrzyć - dodaje Dyląg.

Omijanie zabezpieczeń tyczy się również systemu operacyjnego iOS. Jego wersja z liczbą 11 na końcu została poddana tzw. jailbreakowi - usunięciu odgórnych zabezpieczeń, zamontowanych w iPhone X. Dokonano tego zaledwie tydzień po premierze telefonu, na koreańskiej imprezie POC dla hakerów oraz specjalistów od cyberbezpieczeństwa. Pierwszą organizacją, która złamała zabezpieczenia nowego modelu od Apple, było KeenLab.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA