Apple heeft Face ID in 2017 gefactureerd als Touch ID toen het de TrueDepth-camera in de iPhone X introduceerde. Het bedrijf heeft dat sentiment meer dan een paar keer herhaald, zelfs als de biometrische beveiligingsmaatregel technisch is verslagen enkele keren.
Het is echter niet eenvoudig om Face ID te omzeilen. Hoewel technisch mogelijk, vereist het meestal veel verschillende stappen en zeer, zeer specifieke parameters om te bereiken. Maar het kan wel. En dat is precies wat er ook weer is gebeurd, dankzij onderzoekers van Tencent. Het verhaal werd voor het eerst gemeld door ThreatPost (via AppleInsider).
De bypass is deze week gedemonstreerd en het omvat een bril en tape. De methodiek werkt door gebruik te maken van het "levendigheid" detectie-element van Face ID. Dit deel van de biometrische beveiligingsmaatregel is bedoeld om te bevestigen dat de TrueDepth-camera naar een echte persoon kijkt in plaats van naar een masker of toegepaste protheses. Liveness detecteert een verscheidenheid aan elementen, zoals achtergrondruis, focusonscherpte en eventuele vervormingen als reactie.
De levendigheidsfunctie is bedoeld om Face ID veiliger te maken. En standaard doet het dat in normale omstandigheden. Blijkbaar kan het echter ook worden gebruikt tegen Face ID.
Na ons onderzoek hebben we zwakke punten in Face ID gevonden, waarmee gebruikers kunnen ontgrendelen terwijl ze een bril dragen. Als u een bril draagt, haalt deze geen 3D-informatie uit het gebied rond de ogen wanneer deze de bril herkent.
De nieuwe bril die door de Tencent-onderzoekers wordt gebruikt, wordt 'X-bril' genoemd. Het hoofdglas wordt uitgewassen met witte tape, en dan wordt dat bedekt met zwarte tape. De X-bril wordt vervolgens op een geplaatst slapende persoon. De onderzoekers konden Face ID niet alleen gebruiken om de telefoon te ontgrendelen, maar voor een goede maatregel geld overboeken binnen een financiële app.
Zoals gebruikelijk is het, hoewel het technisch mogelijk is om Face ID te omzeilen met deze methode, het is behoorlijk extreem. Je hebt een bril nodig met witte en zwarte tape om het glas te verduisteren en vervolgens een slapende persoon om ze aan te trekken.
De onderzoekers suggereren dat extra elementen moeten worden toegevoegd aan biometrische beveiligingsmaatregelen, waaronder identiteitsauthenticatie.
Dus hoewel dit inderdaad extreem is en de meeste iPhone-bezitters zich geen zorgen hoeven te maken over zoiets, is dit een goede zaak dat Apple nog meer beveiligingsmaatregelen aan de mix toevoegt.
