Lors de la conférence Black Hat USA à Las Vegas, les chercheurs ont démontré une méthode de contournement de Face ID qui utilisait des lunettes et du ruban adhésif pour déverrouiller et infiltrer le iPhone d'une victime « inconsciente ».
Selon un rapport de Menace (passant par iPlus ), des chercheurs de Tencent visaient à tromper la fonction de détection de « vivance » dans la biométrie, qui vise à distinguer les « vraies » des « fausses caractéristiques » sur les personnes.
La détection de vivacité, ont déclaré les chercheurs, détecte le bruit de fond et la distorsion de réponse ou le flou de mise au point, ce qui lui permet de s'assurer qu'un visage est un vrai visage et non un masque. Cette détection de vivacité est utilisée par Face ID, et Apple a même une fonction « Attention Aware » qui garantit que votre iPhone ne se déverrouille pas à moins que vous ne le regardiez.
Pour tromper Face ID, les chercheurs ont créé des prototypes de lunettes avec du ruban noir sur les lentilles et du ruban blanc à l'intérieur du ruban noir pour imiter l'apparence d'un œil. En mettant les lunettes sur le visage d'une victime endormie, ils ont pu accéder à son iPhone et s'envoyer de l'argent via une application de paiement mobile.
Cette méthode a fonctionné car les chercheurs ont découvert que la détection de la vivacité fonctionne différemment avec des lunettes et n'extrait essentiellement pas d'informations 3D du contour des yeux lorsque les lunettes sont portées.
Ils ont découvert que l'abstraction de l'œil pour la détection de la vivacité rend une zone noire (l'œil) avec un point blanc dessus (l'iris). Et, ils ont découvert que si un utilisateur porte des lunettes, la façon dont la détection de vivacité scanne les yeux change.
'Après nos recherches, nous avons trouvé des points faibles dans FaceID... il permet aux utilisateurs de déverrouiller tout en portant des lunettes... si vous portez des lunettes, il n'extrait pas les informations 3D du contour des yeux lorsqu'il reconnaît les lunettes.'
Un attaquant tentant d'utiliser cette méthode dans le monde réel aurait besoin d'une victime endormie ou inconsciente, d'un accès à l' iPhone de cette victime, puis des lunettes devraient être placées sur les yeux sans réveiller la personne. Il convient de noter que ce n'est pas une situation que la plupart des gens sont susceptibles de rencontrer, et il n'y a pas non plus de recherche secondaire sur cette prétendue méthode cette fois.
Pour atténuer la faille de détection des yeux à l'avenir, les chercheurs ont suggéré aux fabricants de produits biométriques d'ajouter une authentification d'identité pour les caméras natives et « d'augmenter le poids de la détection de la synthèse vidéo et audio ».
Apple a conçu Face ID avec mesures de désactivation d'accès facile pour les situations où une personne peut être contrainte ou forcée à déverrouiller un iPhone avec reconnaissance faciale. Appuyer sur le bouton veille/réveil d'un iPhone cinq fois de suite rapidement, un écran SOS d'urgence s'affiche qui désactive automatiquement Face ID et nécessite la saisie d'un mot de passe avant que Face ID ne fonctionne à nouveau. Maintenir enfoncé le bouton latéral/supérieur et un bouton de volume fonctionne également sur le iPhone et le iPad Pro .
Articles Populaires