Empresa de segurança afirma ter contornado o Face ID do iPhone X com uma máscara elaborada

O novo recurso de segurança Face ID, do iPhone X, levantou uma série de preocupações, com a maior delas sendo o quão seguro o sistema biométrico realmente é. A Apple diz que, embora o sistema de reconhecimento facial seja projetado mais pela conveniência do que pela segurança absoluta, ele é menos vulnerável do que seu antecessor, o Touch ID — embora testes já tenham mostrado que o sistema geralmente funciona, mas tem uma série de defeitos e comportamentos inesperados.

Eis outra coisa sobre o Face ID: pesquisadores da firma de segurança vietnamita Bkav alegam ter conseguido derrotar o reconhecimento facial com uma máscara elaborada, feita da combinação de partes em 2D e 3D. Em um vídeo publicado neste fim de semana, pesquisadores da Bkav mostraram como o rosto construído foi capaz de desbloquear um dispositivo novinho em folha. De acordo com a Bkav, seu “estudo de prova de conceito” foi feito sem treinar o iPhone X para reconhecer componentes da máscara, mas, sim, apenas o rosto de um dos membros da empresa.

A firma não especificou quantas tentativas foram necessárias para passar pela segurança da Apple, mas eles escreveram que os custos foram de US$ 150 por partes que não incluíam uma impressora 3D. Sem um vídeo mais claro ou sem ver o experimento replicado, é difícil saber se esta é uma brecha genuína.

Mas presumindo que o método da Bkav realmente funciona como é anunciado, seria isso um problema de segurança enorme para usuários casuais? Provavelmente, não. Como a Bkav explicou em seu post de blog, “é bem difícil fazer a máscara ‘correta’ sem certo conhecimento de segurança. Conseguimos enganar a inteligência artificial da Apple, como mencionado no texto, porque entendemos como a IA funcionava e como contorná-la”. Por exemplo, além de contar com partes impressas em 2D e 3D, a Bkav também teve que recrutar um artista para construir manualmente o nariz da máscara. Eles acrescentaram que o processo começou “logo após recebermos o iPhone X, em 5 de novembro”, sugerindo que foi um esforço complicado que levou várias tentativas para conquistar o resultado desejado.

Como o Engadget noticiou, isso é de certa forma parecido com quando a associação hacker europeia Chaos Computer Club usou um processo de trabalho intensivo exigindo 2.400 fotografias DPI do dedo de um usuário e uma impressão de látex para enganar o sensor de impressão digital em 2013. A solução elaborada para o Face ID encontrada pela Bkav é bem complicada comparada com aquela, o que reforça as alegações da Apple de que o novo sistema é mais seguro do que o Touch ID.

Nenhuma segurança é à prova de erros, mas contornar o Face ID em segredo por meio desse método geralmente parece exigir um alto grau de conhecimento técnico, tempo e esforço, sem falar no acesso direto ao iPhone X em questão. Se alguém com tudo isso — como, por exemplo, policiais, espiões, hackers e criminosos — for atrás de um alvo, esse alvo provavelmente não deveria contar com a segurança que vem de loja. Além disso, qualquer pessoa maliciosa teria uma janela limitada de tempo para invadir um celular roubado, já que a Apple colocou vários restrições na frequência com que o Face ID pode ser usado sozinho (como limites na duração de tempo da tentativa de acesso ou um limite de números de tentativas falhas que podem ocorrer antes que o sistema exija que o usuário coloque sua senha).

Se a pessoa que estiver tentando invadir o celular não estiver preocupada com sutileza, poderia simplesmente forçar fisicamente o usuário a desbloquear a segurança biométrica, de qualquer forma, ou possivelmente escanear o rosto do usuário enquanto ele está dormindo ou incapacitado. Outras vulnerabilidades levemente mais esotéricas incluem destravar o celular com um gêmeo idêntico (ou quase).

De uma forma ou de outra, o método da máscara não invalida a utilidade do Face ID para usuários que desejam trocar um pouco de segurança por conveniência. Mas se você tiver os códigos para a bomba atômica no seu celular, a Bkav trouxe um pouco mais de provas de que você não deve confiar na segurança baseada em reconhecimento facial.

[Engadget]

Fonte: Gizmodo

Tagged , , , . Bookmark the permalink.