Incidentes Asociados
Recientemente, una empresa vietnamita pudo engañar a la función de seguridad de reconocimiento facial de Apple, pero los expertos en seguridad no creen que exista un gran riesgo para los usuarios comerciales.
Video: 5 cosas que debes saber sobre Face ID de Apple ¿Tienes curiosidad por Face ID de Apple? Aquí hay cinco cosas que debe saber sobre la tecnología de reconocimiento facial que viene con el iPhone X.
El lanzamiento del iPhone X a principios de este mes incluyó una nueva función de seguridad de reconocimiento facial llamada Face ID. Diseñado para reemplazar la función Touch ID del iPhone, Face ID utiliza la autenticación basada en el rostro a través de la detección de infrarrojos para identificar al usuario y proporcionar acceso al iPhone X, así como autorizar compras a través de Apple Pay. Los bancos también están comenzando a utilizar esta función.
Apple dijo que Face ID usa 30,000 puntos de referencia para mapear la cara de un usuario, lo que hace que la probabilidad de que se pueda engañar a la función sea extremadamente baja, pero recientemente, una compañía vietnamita llamada Bkav eludió esta tecnología con una máscara hecha de partes tridimensionales. Este desarrollo explica lo que puede ser solo el comienzo de una serie de fallas potenciales que rodean esta nueva función. Entonces, ¿deberían preocuparse los usuarios comerciales?
"El reconocimiento facial de Apple nunca tuvo la intención de ser una medida de seguridad para una autenticación sólida", dijo Josh Mayfield, director de marketing de productos de FireMon. "La autenticación sólida no se puede falsificar, jugar o manipular. El reconocimiento facial de Apple comienza con la suposición inicial de que es probable que el usuario que mira la pantalla sea el usuario correcto. A partir de ahí, el sistema de reconocimiento solo busca confirmar su suposición... nunca tratar de demostrar que su suposición es incorrecta".
VER: Política informática de dispositivos móviles (Tech Pro Research)
Paul Norris, ingeniero de sistemas sénior de Tripwire, afirmó que hacks como el que llevó a cabo Bkav requieren mucho tiempo y esfuerzo. “Se habrían tenido que tomar dimensiones detalladas para crear la máscara y la empresa de seguridad aludió al hecho de que también tenían que usar un material especial en la máscara”, dijo. "Lo que no revelaron fue cuántos intentos y qué nivel de esfuerzo se necesitaron para que la máscara funcionara sin problemas". Norris también señaló que ciertos detalles de seguridad integrados en Face ID de Apple pueden mitigar el riesgo. Cinco intentos fallidos de autenticar a los usuarios a través de medios faciales obligarán al usuario a ingresar un código de acceso, que es necesario para que Face ID funcione. Además, se debe ingresar el código de acceso cuando el dispositivo:
Se acaba de encender o reiniciar
No se ha desbloqueado a través de Face ID en las últimas cuatro horas
No se ha desbloqueado mediante el código de acceso en los últimos seis días y medio.
No se ha desbloqueado en absoluto durante más de 48 horas.
Ha recibido un comando de bloqueo remoto
Ha iniciado la función de Emergencia SOS
Terry Ray, CTO de la firma de seguridad cibernética Imperva, señaló que Apple admite que el gemelo u otro familiar cercano de un usuario podría parecerse lo suficiente a un usuario como para desencadenar un falso positivo. Peor aún, los investigadores han podido realizar autenticación facial por fuerza bruta en el pasado.
VER: Informe especial: Ciberseguridad en un mundo móvil e IoT (PDF gratuito) (TechRepublic)
Ray dijo que también pueden ocurrir falsos negativos. Si el propietario del teléfono sufre un cambio de apariencia notable, como afeitarse la barba o hacerse un corte de pelo radicalmente diferente, es posible que Face ID no pueda autenticarse y se requerirá el código de acceso para configurar Face ID nuevamente para que coincida con la actualización del usuario. aspecto.
Sin embargo, dijo Ray, "el consumidor promedio probablemente no esté en riesgo de sufrir un ataque de reconocimiento facial o una autorización de falso positivo, a menos, por supuesto, que posea un gemelo idéntico engañoso".
Un truco como el que logró Bhav costaría alrededor de $ 150 en suministros 3D, lo que no es financieramente paralizante para un atacante potencial, pero tampoco es algo en lo que no se pueda invertir a gran escala. También requeriría acceso al propio teléfono, momento en el que ya se habría comprometido parte de la seguridad física. Finalmente, la máscara tendría que ser lo suficientemente auténtica para desbloquear el teléfono dentro de cinco intentos dentro de un período de tiempo de 48 horas.
"¿Vale la pena este esfuerzo por el valor de un teléfono?" dijo rayo. "Probablemente a alguien con una agenda en particular, pero probablemente no sea un problema para la mayoría de los usuarios".
Ray dijo que una pregunta común en el ámbito de la seguridad es si la tecnología que se está considerando es lo suficientemente buena y fácil para sus propósitos: "Nada es perfecto y la tecnología correcta es aquella con la que se siente cómodo de usar y que lo mantiene aceptablemente seguro".
Boletín de ciberseguridad Insider Fortalezca las defensas de seguridad de TI de su organización manteniéndose al tanto de las últimas noticias, soluciones y mejores prácticas de ciberseguridad. Entregado los martes y jueves Regístrese hoy Regístrese hoy
Ver también: