Incidentes Asociados
Los piratas informáticos vietnamitas que afirmaron a principios de este mes haber engañado a Face ID de Apple con una máscara que costaba menos de $ 150 están de vuelta. Pero esta vez, su evidencia es más convincente.
Mientras que en su ataque anterior, los investigadores de la empresa de ciberseguridad vietnamita Bkav no mostraron el proceso de inscripción, o cuánto tiempo pasó desde ese punto hasta abrir un iPhone X con la máscara, en una nueva prueba de concepto, parecen hacer ambas cosas. Un video muestra cómo se restablece la inscripción del reconocimiento facial Face ID. Luego, el investigador inscribe su propio rostro y segundos después lo desbloquea con una máscara hecha de un rostro impreso en 3D construido con polvo de piedra, con ojos impresos en 2D pegados.
Los investigadores llamaron a su máscara el "gemelo artificial", ya que era similar a la forma en que un hermano idéntico (o casi idéntico) podría desbloquear un iPhone X. De hecho, la evidencia en video de tal engaño ha surgido desde el lanzamiento del iPhone X. En al menos un caso, el hijo de 10 años de una usuaria pudo ingresar al dispositivo con solo mirarlo. Apple, durante el lanzamiento del iPhone X, admitió que en algunos casos en los que los miembros de la familia se parecían lo suficiente, existía la posibilidad de que Face ID les permitiera acceder. Pero afirmó haber trabajado con los estudios de Hollywood para probar varios trucos basados en máscaras.
Sin embargo, Bkav no ha sido tímido al criticar la tecnología de reconocimiento facial de Apple. "Hace unas dos semanas, recomendamos que solo las personas muy importantes, como líderes nacionales, líderes de grandes corporaciones, multimillonarios, etc., deben tener cuidado al usar Face ID", dijo Ngo Tuan Anh, vicepresidente de seguridad cibernética de Bkav. "Sin embargo, con el resultado de esta investigación, tenemos que elevar el nivel de gravedad para todos los usuarios ocasionales: Face ID no es lo suficientemente seguro para usarse en transacciones comerciales".
Apple no había respondido a una solicitud de comentarios en el momento de la publicación. Los usuarios que estén preocupados por el uso del reconocimiento facial en su iPhone X pueden recurrir al uso de un código de acceso.
Un portavoz de Bkav dijo que había decidido no contarle a Apple sobre sus técnicas más nuevas, ya que el fabricante de iPhone había optado por no responder a los informes de los medios cuando se lanzó su último truco.
Al explicar más sobre el proceso de creación de la máscara, el portavoz dijo que la compañía usó una cabina de escaneo 3D para tomar las imágenes originales. "Por ejemplo, si está parado en medio de una cabina, le tomará fotos en diferentes ángulos en solo dos segundos. Y nosotros tomaremos una imagen infrarroja de su rostro".
"Luego, haremos un objeto 3D de su rostro a partir de las fotos... Luego, con el objeto 3D, usamos una impresora 3D, usando polvo de piedra como material, para imprimir la máscara gemela de su rostro. Será el original máscara por la impresora, no se necesita ninguna modificación.
"Luego, usando la imagen infrarroja de su rostro, cortamos las partes del ojo de la imagen. Sabemos cómo cortar las partes del ojo para que pueda engañar a Face ID, pero no puede revelar... Luego, pegamos las partes del ojo a la máscara gemela 3D de tu cara. Luego, está lista. No se necesita ninguna otra modificación".
¿Son posibles los ataques en el mundo real?
Lo que Bkav no abordó en su comunicado del lunes fue la aplicabilidad de un ataque basado en máscaras en el mundo real. Un atacante necesitaría poder obtener un escaneo preciso de la cara de un objetivo, luego dedicar tiempo y esfuerzo a crear la máscara (un proceso que Bkav no ha detallado completamente). También es evidente en el video que el iPhone debe estar alineado con la máscara en un ángulo específico para que funcione el ataque.
El profesor Alan Woodward, experto en seguridad y encriptación, de la Universidad de Surrey en el Reino Unido, dijo que todavía había dudas sobre el enfoque de los investigadores. "Lo que todavía no sabemos es cuánto esfuerzo tomó producir esa máscara en particular y cuántos intentos tomó hacer coincidir la máscara y la cara. Como amenaza, prueba que Face ID no es totalmente confiable, pero como riesgo, todos deberían preocuparse en la vida cotidiana, estoy menos convencido", dijo Woodward.
"Lo que sí muestra el experimento es que una máscara estática puede engañar a la tecnología de Apple que se supone que garantiza que solo se reconozca una cara viva. Una vez que eso sea posible, será teóricamente posible producir una máscara estática para abrir el dispositivo.
"Sin embargo, por la forma en que se realiza este experimento, se puede ver que es muy complicado colocar el dispositivo de esa manera. Eso sugiere que la máscara debe usarse en circunstancias muy particulares".