11:58
14/9/2017

Na zakończonej dwa dni temu konferencji Apple przedstawiono nowego iPhona X. Przyjrzyjmy się nowym funkcjom bezpieczeństwa, które pojawią się w tym modelu — a zwłaszcza budzącej kontrowersje funkcji Face ID i rozprawmy się z kilkoma mitami, które pojawiły się na jej temat w internecie.

Skąd wzięło się FaceID w iPhone X?

Ponieważ w iPhone X Apple wprowadziło nowy ekran (5,8″ OLED z rozdzielczością 2436×1125 i gęstością 458 ppi), zwyczajnie zabrakło miejsca na TouchID, czyli przycisk “home” pozwalający na odblokowywanie telefonu za pomocą analizy linii papilarnych palca. O tym jak dokładnie działa TouchID i jakie ryzyka z jego użyciem są związane pisaliśmy w artylule Analiza Bezpieczeństwa TouchID.

Face ID - kamery i czujniki

Face ID – kamery i czujniki

Brak możliwości umieszczenia przycisku Home spowodował, że użytkownik musi być uwierzytelniany w inny sposób niż za pomocą swojego palca. Co jeszcze jest “unikatowe”? Według Apple, jest to nasza twarz. Do jej analizy, nowy iPhone wykorzystuje przednią kamerę, cztery czujniki “TrueDepth ” i chipset A11 wyposażony w “Bionic Neural Engine” korzystający z sieci neuronowych. Twarz użytkownika jest oświetlana 30 tysiącami kropek i analizowana w podczerwieni jako trójwymiarowy obiekt.

Analiza ma działać w ciemności i niezależnie od tego, czy właściciel ma okulary, nakrycie głowi czy zmieniony zaczes. Tylko w jednym przypadku FaceID nie zadziała — kiedy właściciel ma zamknięte oczy (zapewne chodzi o to, aby nie dało się odblokowywać czyjegoś telefonu, kiedy jego właściciel śpi).

Ominięcie Touch ID siłą

Ominięcie Touch ID siłą

Czy Face ID da się zhackować?

Niezależnie od innowacji i liczby “amazingów” Apple’a w kontekście rozpoznawania twarzy, prawdopodobnie prędzej czy później jakiś badacz bezpieczeństwa znajdzie sposób na odbezpieczenie iPhona X fałszywą twarzą. Tak, jak jest jest możliwe oszukanie Touch ID, co pokazali członkowie CCC w 2013 roku. Na marginesie, w przypadku telefonów Samsunga zadanie oszukania czytnika linii papilarnych jest jeszcze łatwiejsze, por. policjanci odblokowali telefon zmarłego wydrukowanym palcem.

Jak można zmylić sieć neuronową rozpoznającą obrazki poprzez połączenie 2 obrazków

Jak można zmylić sieć neuronową rozpoznającą obrazki poprzez połączenie 2 obrazków

Sieci neuronowe, jak widać powyżej, łatwo się oszukuje, a o tym jak w ogólności obchodzi się i ogłupia się skanery twarzy pisaliśmy w artykule pt. Jak hackuje się skanery twarzy. W przypadku FaceID te techniki nie zadziałają — twarz jest analizowana w trójwymiarze, więc prawdopodobnie pierwszy “hack” na FaceID będzie wykonany z użyciem trójwymiarowego modelu wykonanego w odpowiednim materiale, zapewniającym podobny stopień rozproszenia światła.

Apple próbowało oszukać swój czytnik maskami wykonanymi przez hollywoodzkich ekspertów od efektów specjalnych. Ponoć bez rezultatu, choć jak przyznają inżynierowie Apple, system może być oszukany przez brata-bliźniaka. Ciekawe, czy to spopularyzuje wśród służb wyszukiwarki twarzy, w poszukiwaniu sobowtórów w celu odblokowywania telefonów należących do nieujętych przestępców. Być może policjanci zwrócą się do Żabki, która po cichu skanowała twarze klientów i być może posiada przepastne archiwa klientów.

Kamera na kasie w Żabce ocenia wiek i płeć. Według jono, autora zdjęcia, kamera znajduje się w czytniku kodów kreskowych

Wedle Apple, oszustwo będzie trudne, bo technologia FaceID jest być znacznie dokładniejsza niż ta używana do TouchID — jak twierdzi Apple:

the chance of stranger unlocking your phone using Touch ID was 1 in 50,000, compared to Face ID’s 1 in 1,000,000.

Dla porównania dodajmy tylko, że 4-znakowy PIN jest 14 razy bezpieczniejszy (62^4). W skrócie, to oznacza, że jeśli do tej pory korzystaliście z TouchID (które nie raz zostało złamane) to korzystanie z FaceID nie powinno dla Was stanowić większego ryzyka. Są tylko 2 problemy…

1. Używanie twarzy jest …dziwne

Sądząc po pojawiających się w internecie komentarzach, niektórzy czują się nieswojo z myślą, że ich twarz będzie skanowana… (co jednak nie przeszkadza im wrzucać swoje selfie na Instagram czy inne Snapczaty ;)

O ile odblokowywanie telefonu przez patrzenie na niego jest na pewno mniej wygodne (za pomocą TouchID telefon można było odblokować sięgając po niego, nie mając go jeszcze w zasięgu wzroku), to z punktu widzenia technologii przechowywania danych biometrycznych w iPhone nic się nie zmienia. Podobnie jak “skan” linii papilarnych użytkownika w TouchID, tak i jego twarz w przypadku FaceID nie jest nigdzie wysyłana przez internet — zostaje na telefonie, w tzw. Secure Enclave, osobnym chipsecie gwarantującym bezpieczeństwo i “zakaz odczytu” przechowywanych w nim danych.

Innymi słowy, żadna aplikacja nie “wyciągnie” z iPhona modelu waszej twarzy. Chyba, że dacie jej dostęp do kamery i zrobicie sobie zdjęcie “w aplikacji”.

Musicie więc odrzucić to dziwne uczucie, że telefon wie jak wyglądacie i Was rozpoznaje. Bezuczuciowe dane jasno wskazują, że bezpieczeństwo twarzy (Face ID) jest wyższe niż bezpieczeństwo palca (Touch ID), poza jedną sytuacją, która nie dotyczy większości społeczeństwa:

2. Policja teraz łatwiej zmusi Cię do odblokowania Twojego iPhona

Tzw. “siłowe odblokowanie” było największym zagrożeniem w przypadku korzystania z Touch ID. Ktoś mógł wykręcić Ci rękę i odblokować siłowo Twojego iPhona, a następnie podpiąć go pod UFED-a czy inne wykorzystywane przez służby narzędzie do automatycznego pobierania danych z telefonu podejrzanego i gotowe. Dlatego w naszych poradnikach o zabezpieczaniu iPhona zawsze sugerowaliśmy wyłączanie TouchID przed wejściem na lotnisko, bo lotniska to najbardziej parszywe miejsca, jeśli chodzi o ochronę Waszych praw do prywatności, nawet jeśli jesteście obywatelami USA.

Aby poradzić sobie z tym problemem, w iOS 11 Apple wbudowało tzw. “panic button” — pięciokrotne naciśnięcie przycisku “Sleep/Power” powodowało natychmiastową blokadę Touch ID. Idealne rozwiązanie na szybkie uniemożliwienie “siłowego odblokowania” w sytuacji zbliżającego się zagrożenia.

Ponoć ten “antypolicyjny trick” ma działać także z Face ID. Ale wciąż Touch ID na polu odporności przed siłowym odblokowywaniem wygrywa z Face ID. W przypadku Touch ID można było podać policjantowi “zły palec”, bo kilka błędnych prób odblokowania to zablokowanie Touch ID i konieczność wpisania hasła, czyli czegoś, czego siłowo służby nie zdobędą bez naszego przyzwolenia lub odporności na przypalanie papierosem. W przypadku Face ID takiej możliwości nie mamy — twarz jest tylko jedna. Możemy tylko zamknąć oczy, bo to jedyna sytuacja, w której Face ID nie zadziała. Ale nawet początkujący specjalista ds. tortur zna sposób na to, aby zmusić kogoś do otwarcia oczu…

Byłoby super, gdyby Apple wbudowało w Face ID mechanizm wykrywania “niepokoju/stresu” użytkownika, czyli analogie do podsunięcia złego palca. Dobrym pomysłem, według nas byłoby po prostu pokazanie języka. Łatwy do wykonania gest, trudny do zablokowania (zakrycie ust zmieni model 3D twarzy). A poza tym, ma podwójny przekaz ;)

Apple zdaje się być świadome tej słabości w Face ID, bo w iOS 11 wbudowało także nowe zabezpieczenie w postaci wymogu podania kodu przy próbie podpięcia pod iPhona komputera (albo właśnie wykorzystywanego przez policję UFED-a, czy innej zabawki do ekstracji danych). Do tej pory odblokowany telefon kluczami parowania wymieniał się z każdym urządzeniem, wystarczyło tylko kliknąć na popupie “ufaj temu urządzeniu”.

Teraz trzeba będzie podać kod blokady, nawet jeśli telefon jest odblokowany. To utrudni pozyskiwanie danych z urządzeń odblokowanych przez “siłowe odblokowanie”. Służby będą mogły tylko przeglądać to co jest dostępne z poziomy samego telefonu — jak duże jest to utrudnienie w przypadku forensicowej analizy wie każdy, kto musiał się ręcznie przekopywać przez setki zdjęć i widział, co narzędzia z których korzystają służby mogą odczytać z telefonu, chociaż sam iOS tego nie pokazuje użytkownikowi…

Podsumowując, włączając Face ID (lub Touch ID), w przypadku spotkania z służbami tracicie część swoich praw, które mielibyście gdybyście korzystali tylko z kodu blokady ekranu.

Haha, demo Face ID im nie wyszło!

Na koniec wyjaśnijmy jeszcze wpadkę w trakcie oficjalnej prezentacji Face ID:

Niektórzy sugerują, że powodem tej porażki była funkcja bezpieczeństwa (patrz rozdział o “siłowym odblokowaniu”). iPhone nie odblokował się, bo był zrestartowany. Po restarcie ani Touch ID nie działa oraz — jak widać — Face ID też nie zadziała. Choć w przypadku użycia Touch ID po restarcie, komunikat jest odrobinę inny (wskazuje, że po restarcie wymagane jest podanie kodu — tu podobnego komunikatu nie widzieliśmy).

Aktualizacja: Jest już oświadczenie Apple w tej sprawie — nie restart, a próby wielokrotnego odblokowywania (nieświadomego, przez patrzenie na ekran) iPhona przez osoby przygotowujące prezentacje spowodowały blokadę mechanizmu FaceID:

After examining the logs of the demo iPhone X, they now know exactly what went down. People were handling the device for stage demo ahead of time, and didn’t realize Face ID was trying to authenticate their face. After failing a number of times, because they weren’t Craig, the iPhone did what it was designed to do, which was to require his passcode. In other words, Face ID worked as it was designed to.

Czy applowskie rozpoznawanie twarzy będzie najlepsze?

Apple nie wymyśliło rozpoznawania twarzy. Technologia skanowania twarzy jest już z powodzeniem wykorzystywana przez Microsoft w Surface i innych producentów. Trzeba przyznać, że początki technologii rozpoznawania twarzy były dość komiczne. Kamery HP nie rozpoznawały czarnoskórych użytkowników, a Androidową funkcję rozpoznawania twarzy można oszukać zwykłą fotografią… choć trzeba przyznać, że Android zachowuje się fair i sam ostrzega, że ta funkcja ma beznadziejny wpływ na bezpieczeństwo użytkownika telefonu z Androidem.

Czy teraz będzie lepiej? Czas pokaże. Czy używać Face ID? Odpowiedź może być tylko jedna, taka sama jak dla każdego pytania dotyczącego mechanizmu bezpieczeństwa. To zależy. Od twojego modelu ryzyka, czyli zagrożeń jakich najbardziej się obawiasz, danych które chcesz chronić, zdolności (i budżetu) atakującego oraz stopnia niewygody jaki dopuszczasz. W większości przypadków, jeśli konieczność patrzenia na telefon w trakcie odblokowywania Cię nie będzie drażniła, włącz Face ID. Jeśli natomiast obawiasz się przeszukania na lotnisku, lepiej wyłączyć tę funkcję. Tak samo zresztą, jak i Touch ID. Poniżej przykładowa matryca z wynikiem modelowania zagrożeń stworzona przez jednego z badaczy. Prawie idealna. Prawie, bo m.in. ułożona tylko dla słabych PIN-ów (a kod ekrany może być długi, co spowoduje zmiany w przypisanych poziomach zagrożeń).

Matryca zagrożeń w zależności od metody uwierzytelnienia

Matryca zagrożeń w zależności od metody uwierzytelnienia

Jedno jest pewne. iPhone z iOS to wciąż najbardziej skupiony na ochronie prywatności i zapewnieniu bezpieczeństwa smartfon. I dlatego Zerodium płaci najwyższą nagrodę, 1 500 000 dolarów (5,5 miliona złotych) temu, kto znajdzie działającego exploita na iOS, pozwalającego przejąć kontrolę nad urządzeniem. Exploit na Androida kosztuje 3 razy mniej. Zgadnijcie dlaczego…

PS. Jeśli szykujesz się do walki, to też lepiej Face ID wyłączyć, bo ktoś może Ci tak przywalić, że nie będziesz mógł odblokować iPhona przez tydzień ;)

Powyższy mem jest oczywiście niedokładny. Nawet z obitą twarzą, telefon będzie się dało odblokować kodem, a na numery alarmowe można dzwonić bez konieczności odblokowywania telefonu.

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. Świetne poradniki dla przestępców, stąd nazwa serwisu? Że zwiekszacie niebezpieczeństwo dla ludzi doksztalcajac terrorystów i podobnych?

    • xD

      ! xDd

    • Czyżby kolega uważał że uczciwi nie mają nic do ukrycia? To poproszę numery, CVS-y i piny kart kredytowych!! A że trzeba chronić się przed państwem bardziej niż przestępcami? Znak czasów, na chwilę obecną bandyta jest bardziej wiarygodny od polityka niezależnie od partii w której ten ostatni chwilowo jest.

    • o zwiększaniu świadomości przeciętnych zjadaczy chleba już nic nie wspomnisz?

    • Myślę, że stosujesz złą logikę. “Źli ludzie” tę wiedzę i tak mają/będą mieli, bo taki ich fach. “Dobrzy” nie wiedząc nie będą wiedzieli jak się bronić.
      Analogicznie z bronią. Jeśli jest zakaz posiadania broni to broń mają tylko “źli ludzie”, a “dobrzy” nie mają się czym obronić.

    • Xd 2017.09.14 12:25
      Masz racje technologia jest bardzo przydatna ….
      Analizując twarz można dowiedzieć się kto jest np. homosiem …
      W Rosji, Chinach czy w innych prawicowych państwach gdzie są jakieś zasady moralne , homosiów się wysyła na leczenie do psychiatryka … Dajmy więc USA kolejną bazę zdjęć.

      Dodam ,że można takie osoby szantażować w USA :) … Nie zapłacisz to ujawnię ,że jesteś homoś :)

      ps.
      Kwestia czasu jak powstanie soft do rozpoznawania po twarzy żydów w polskimi nazwiskami – będą terroryści mieć pole do popisu :)

  2. Odmowa podania hasła/odblokowania telefonu na lotnisku w USA skutkuje więzieniem…
    Nie prościej posiadać rezerwowe konto i przed wyjazdem wykasować telefon???
    Przywrócenie właściwego konta trwa kilka minut a służby niech sobie robią co chcą.

    • To jedna z technik unikania tego problemu.

  3. Co do mema – oprócz tego co sami napisaliście w artykule – na numery alarmowe zawsze można zadzwonić bez odblokowywania telefonu ;)

  4. Z tym językiem to bym uważał. Wystarczy kogoś “pogłaskać” po żuchwie w trakcie wystawiania i już prędko go nie wystawi (o ile w ogóle).

  5. Inżynierowie Apple pewnie natchnęli się tym filmem: https://www.youtube.com/watch?v=JvX8xWceSIg

  6. Microsoft Surface (ogólnie funkcja Windows Hello) nie smakuje twarzy tylko oczy.

    • > nie smakuje twarzy

      Mniam!

    • Ja nie wiem skąd ta plotka krąży od jakiegoś czasu, że Win Hello to skaner oczu…

  7. “Analiza ma działać w ciemności i niezależnie od tego, czy właściciel ma okulary, nakrycie głowi czy zmieniony zaczes. Tylko w jednym przypadku FaceID nie zadziała — kiedy właściciel ma zamknięte oczy…”
    … albo założone okulary przeciwsłoneczne B-)

  8. “Choć w przypadku użycia Touch ID po restarcie, komunikat jest odrobinę inny (wskazuje, że po restarcie wymagane jest podanie kodu — tu podobnego komunikatu nie widzieliśmy).”

    TouchID wyświetla ten komunikat co 48 godzin a także po 5 próbach błędnego odblokowania, więc albo ktoś się bawił tym testowym egzemplarzem i zablokował, albo faceID nie ogarnęło i nie poznało prezentera

  9. “Dla porównania dodajmy tylko, że 4-znakowy PIN jest 14 razy bezpieczniejszy (62^4). ”

    Autor zakłada, że PIN nie składa się z samych cyfr?

  10. W filmiku z “failem” facet zwyczajnie wziął nie ten Ajfon co potrzeba — nie swój. Moim zdaniem chodziło o to by pokazać – na dzień dobry – że nie da się odblokować cudzego Ajfona.

  11. No właśnie dlaczego na androida kosztuje mniej? Czy aby na pewno dlatego, że jest gorzej zabezpieczony, czy firmie bardziej zależy na iOS bo ma “kluczowych” użytkowników? A może dlatego, że jest sławny z jego “zabezpieczenia” więc i użytkownicy są mniej ostrożni? Cena nie mówi nic o zabezpieczeniu. A Apple chwaliło się różnymi rzeczami na prezentacji, ciekawe ile z tego to prawda.

    • Masz na mysli dlaczego iphone jest drozszy od samsunga? Bo to produkt bardziej premium. Dlatego BMW jest drozsze niz ssangyong. Po prostu nie stac cie to nie kupujesz, niektorzy oczywiscie musza sie dowartosciowac.

    • komentarz333124 > chodziło mu o cenę jaką płaci Zerodium za działającego exploita

    • No to trafiłeś z tym porównaniem. Zwłaszcza, że obecny iPhone ma jeszcze więcej części robionych przez Samsunga niż poprzednie. Ale tak jak uświadomił Cię kolega niżej nie chodziło mi o cenę telefonu bo ta jak zwykle u Apple jest z kosmosu, tylko o cenę za jego złamanie. Albo to jest łapówka dla kogoś z NSA by wypuścił info o tylnej furtce do smartfona.

  12. no cóż… kiedyś wystarczyło odciąć palec, teraz trzeba będzie urżnąć całą głowę…

  13. “technologia FaceID jest być znacznie dokładniejsza” coś nei wyszło

  14. A co ze starzeniem? :D

    • Sieć neuronowa ma to do siebie, że może się uczyć. Tak i tutaj uczy się twarzy właściciela, w tym jej zmian w czasie.

    • To jest telefon za 5500 PLN. Ludzie wydający takie kwoty na gadżety używają tylko do czasu wyjścia kolejnego modelu. W tym czasie trudno się widocznie zestarzeć ;)

  15. Przynajmniej służby na lotnisku oszczędzą moją twarz.

  16. Dlaczego w artykule piszą tylko o przymusowym odblokowywaniu telefonu przez policję?
    Tak jakby używali ich tylko jacyś podejrzani osobnicy mające coś na pieńku z prawem.
    Podstawowe zadanie zabezpieczenia to niemożność złamania zabezpieczenia przez złodzieja, który ukradł telefon.

    • Może dlatego, że takie sytuacje już się zdarzały? A złodziej po prostu jak będzie Cię bił kradnąc telefon to oszczędzi twarz do momentu odblokowania telefonu.

  17. Ostrożnie w Waszymi propozycjami, niebezpieczniku. Nie bez powodu kiedyś nie zaczynało się tortur od wyrywania języka. Jeśli FaceID wdroży Wasze zalecenia, to podręczniki do tortur będą musiały być wszystkie zmienione. Wiecie jakie to koszty dla Ministerstwa?

  18. Jesli zlozycie sie dla mnie na Iphona x , yślę, ze spokojnie oszukam Face ID w nowym Iphone.Dajcie mi max 10 dni i tego dokonam obiecuje :) tylko sie zlocie a niego dla mnie

    • Bo masz horom curke?

  19. Oprogramowanie Apple ma zamknięty kod i tym samym jest jednym z mniej bezpiecznych urządzeń. Poza tym wszystko co pochodzi z USA, jest przymuszone do współpracy z tamtą bezpieką. To tyle w kwestii prywatności.

  20. Nawet Snowden wie ze nie należy ufać m.in. takiej firmie jak Apple ze względu na współpracę z NSA. A bezpieczeństwo danych to tylko propaganda.

  21. Ach te wspaniałe Apple.
    Już czuję te ciśnienie jak tylko ruszy sprzedaż.

  22. Ciekawe spojrzenie na FaceID:
    https://www.youtube.com/watch?v=vpF4ql-3kmc

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: