Black Hat -tietoturvakonferenssissa paljastettiin Face ID:n haavoittuvuus. Tarvitset lasit mustalla teipillä niiden rikkomiseen.
Erityinen tapaus koskee Face ID:tä, jossa on vaadittu huomiotoiminto. Nämä eivät salli laitteen lukituksen avaamista suljetuilla tai siristetyillä silmillä. Tämä rajoitus voidaan kuitenkin selvästi kiertää melko helposti.
Tencentin asiantuntijat ovat osoittaneet, että tavalliset lasit ja muutama pala mustaa teippiä riittää. He havaitsivat, että Face ID ei pysty skannaamaan kasvoja oikein 3D-muodossa paikoissa, joissa on silmälasit.
Tencetissä he keskittyivät siihen, miten miten Face ID toimii biometristen tietojen kanssa. Erityisesti he tutkivat prosessia, joka erottaa todelliset ja väärät ominaisuudet ihmisen kasvoissa. Ominaisuus yrittää havaita taustakohinaa, vääristymiä tai sumeutta.
He huomasivat erittäin mielenkiintoisen asian "Require Attention for Face ID" -ominaisuudesta. He havaitsivat, että taustalla on musta alue (silmä), jossa on valkoinen piste (linssi). Kuitenkin, kun ihmisellä on silmälasit kasvoillaan, huomiontunnistustoiminto toimii täysin eri tavalla.
X-lasit huijaavat Face ID:n huomiontunnistusta
Asiantuntijat ajattelivat sitten ottaa tavalliset lasit ja leikata mustasta teipistä kaksi suorakulmiota. Sitten he leikkasivat valkoisesta teipistä pieniä neliöitä, jotka liimattiin keskelle. Nämä "X-lasit" sekoittavat helposti toiminnon, joka valvoo ihmisen silmiä. Ja he onnistuivat avaamaan laitteen.
Tietenkin tällainen hyökkäys tuskin on yleinen. Toisaalta se ei ole täysin epärealistista. Tarvitset edelleen uhrin fyysiset kasvot, mutta voit ohittaa huomiontunnistuksen. Joten on täysin mahdollinen skenaario, jossa henkilö pakotetaan käyttämään "lasit X" ja hyökkääjät voivat helposti ohittaa Face ID -suojauksen.
Black Hat -turvakonferenssi jatkuu. Paikalla ovat myös Applen edustajat, jotka ilmoittivat lisätuesta virheiden etsimiseen tarkoitetuille ohjelmille. Uudet palkinnot ovat vielä korkeammat ja ohjelma laajennetaan iOS:n lisäksi macOS:ään. Apple aikoo myös antaa erityisiä laitteita, joissa on lukitsematon käyttöjärjestelmä, tietoturva-asiantuntijoille, jotta he voivat yrittää vieläkin kehittyneempiä hyökkäyksiä.
Petr Škuta 
David Hanak 
Okei, ei siis ollut Face ID -hakkerointi, vain huomionseurantahakkerointi. Tekisitte myös sensaation paskasta. ?