Incidentes Asociados
Este artículo se actualizó a continuación con otra demostración en video más convincente de la falsificación de Face ID de Bkav, que la empresa reveló dos semanas después del original.
Cuando Apple lanzó el iPhone X el 3 de noviembre, inició una carrera inmediata entre los piratas informáticos de todo el mundo para ser los primeros en engañar a la nueva forma futurista de autenticación de la compañía. Una semana después, los piratas informáticos del otro lado del mundo afirman haber duplicado con éxito la cara de alguien para desbloquear su iPhone X, con lo que parece una técnica más simple de lo que algunos investigadores de seguridad creían posible.
El viernes, la firma de seguridad vietnamita Bkav publicó una publicación de blog y un video que muestra que, según todas las apariencias, habían descifrado Face ID con una máscara compuesta de plástico impreso en 3D, silicona, maquillaje y simples recortes de papel, que en combinación engañó un iPhone X para desbloquearlo. Esa demostración, que aún no ha sido confirmada públicamente por otros investigadores de seguridad, podría abrir un agujero en la costosa seguridad del iPhone X, particularmente dado que los investigadores dicen que su máscara costó solo $ 150.
Pero también es una prueba de concepto de piratería que, por ahora, no debería alarmar al propietario promedio de un iPhone, dado el tiempo, el esfuerzo y el acceso a la cara de alguien necesarios para recrearlo.
Mientras tanto, Bkav no se anduvo con rodeos en su publicación de blog y en las preguntas frecuentes sobre la investigación. "Apple no lo ha hecho tan bien", escribe la empresa. "Face ID puede ser engañado por máscara, lo que significa que no es una medida de seguridad efectiva".
BKAV
En el video publicado en YouTube, que se muestra arriba, uno de los empleados de la compañía saca un trozo de tela de una máscara montada frente a un iPhone X en un soporte, y el teléfono se desbloquea instantáneamente. A pesar del sofisticado mapeo infrarrojo tridimensional del teléfono de la cara de su propietario y el modelado impulsado por IA, los investigadores dicen que pudieron lograr esa suplantación de identidad con una máscara relativamente básica: poco más que una nariz de silicona esculpida, algunos ojos y labios bidimensionales. impreso en papel, todo montado en un marco de plástico impreso en 3D hecho a partir de un escaneo digital de la cara de la posible víctima.
Los investigadores admiten, sin embargo, que su técnica requeriría una medición detallada o un escaneo digital de la cara del propietario del iPhone objetivo. Los investigadores dicen que usaron un escáner de mano que requirió unos cinco minutos para escanear manualmente la cara del sujeto de prueba. Eso coloca su método de suplantación de identidad en el ámbito del espionaje altamente dirigido, en lugar del tipo de piratería común y corriente que la mayoría de los propietarios de iPhone X podrían enfrentar. 1
"Los objetivos potenciales no serán los usuarios regulares, sino los multimillonarios, los líderes de las principales corporaciones, los líderes de la nación y los agentes como el FBI deben comprender el problema de Face ID", escriben los investigadores de Bkav. También sugieren que las versiones futuras de su técnica podrían realizarse con un escaneo rápido del teléfono inteligente de la cara de una víctima, o incluso un modelo creado a partir de fotografías, pero no hicieron ninguna predicción sobre qué tan fácil sería diseñar esos próximos pasos.
'Era aún más simple de lo que nosotros mismos habíamos pensado.' Investigadores Bkav
Además del desafío de adquirir un escaneo facial preciso, la configuración más simple de los investigadores superó a las técnicas más costosas para los intentos de engaño de Face ID, es decir, los que probamos en WIRED a principios de este mes. Con la ayuda de un artista de efectos especiales, ya un costo de miles de dólares, creamos máscaras completas moldeadas a partir de la cara de un miembro del personal en cinco materiales diferentes, que van desde silicona hasta gelatina y vinilo. A pesar de los detalles como los orificios para los ojos diseñados para permitir el movimiento real de los ojos y los miles de vellos de las cejas insertados en la máscara con la intención de parecerse más a un cabello real para el sensor de infrarrojos del iPhone, ninguna de nuestras máscaras funcionó.
Por el contrario, los investigadores de Bkav dicen que pudieron descifrar Face ID con una combinación barata de materiales, impresión 3D en lugar de moldeado facial y, quizás lo más sorprendente, ojos fijos impresos en dos dimensiones. Los investigadores aún no han revelado mucho sobre su proceso, o las pruebas que los llevaron a esa técnica, lo que puede generar cierto escepticismo. Pero dicen que se basó en parte en la comprensión de que los sensores de Face ID solo verificaban una parte de las características de una cara, lo que WIRED había confirmado previamente en nuestras propias pruebas.
Máscaras WIRED hechas para nuestra propia prueba de Face ID, ninguna de las cuales engañó al iPhone X. David Pierce/Wired
"El mecanismo de reconocimiento no es tan estricto como crees", escriben los investigadores de Bkav. "Solo necesitamos media cara para crear la máscara. Fue incluso más simple de lo que nosotros mismos habíamos pensado".
Sin embargo, sin más detalles sobre su proceso, mucho sobre el trabajo de Bkav sigue sin estar claro. La compañía no respondió a la mayoría de una larga lista de preguntas de WIRED y dijo que planea revelar más en una conferencia de prensa a finales de esta semana.
"Diría que si todo esto está confirmado, significa que Face ID es menos seguro que Touch ID". Marc Rogers, Nube Flare
La más destacada de esas preguntas, señala el investigador de seguridad Marc Rogers, es cómo se registró exactamente el teléfono y se entrenó en la cara real de su propietario. de Bkav