Er Face ID overhovedet sikker når 2D-ansigtsbilleder kan omdannes til 3D-masker? Måske

Selv med 3D-printede ansigtsmasker bliver det nok svært uden videre at narre iPhone X.

Under heftig og vanlig mediebevågenhed annoncerede Apple flere nye telefoner forleden. Noget af det, som har fået rigtig meget opmærksomhed, er, at den kommende iPhone X kan låses op via ansigtsgenkendelse i stedet for fingeraftryk.

For at autentifikation via ansigtet kan foregå nogenlunde forsvarligt - så det eksempelvis ikke er muligt bare at holde et billede af et ansigt op foran telefonen - så er flere elementer end bare et almindeligt kamera involveret i processen.

Der skydes eksempelvis prikker op på brugerens ansigt, hvor prikkernes position så bliver registreret af apparatet i forhold til, om det nu også er en autoriseret person, der forsøger at låse enheden op. Ifølge Los Angeles Times involverer det 30.000 usynlige infrarøde prikker.

Wired bemærker, at 3D-kortlægningen af brugerens ansigt via prikkerne vil gøre det vanskeligere at snyde ansigtsgenkendelsen, end det har været tilfældet med tidligere systemer med ansigtsgenkendelse.

Los Angeles Times kan citere senior vice president for worldwide marketing Phil Schiller for at sige, at Apple sågar har samarbejdet med professionelle maskefremstillere og make up-artister i Hollywood for at sikre, at Face ID ikke sådan kan omgås (antageligt med en maske).

Kig i kameraet

For at systemet skal fungere, så må brugeren heller ikke have lukkede øjne eller kigge væk fra kameraet. Så i udgangspunktet er der altså ikke noget med lige at nappe en telefon og så holde den op foran et sovende ansigt for at låse den op.

Ifølge Apple er Face ID langt sikrere end en fingeraftrykslæser. I hvert fald end den fingeraftrykslæserteknologi, der ellers har været anvendt i iPhones. Under annonceringen fremgik det således, at risikoen for, at Touch ID (Apples fingeraftrykslæser) kunne låses op af en tilfældig persons fingeraftryk, er 1 ud af 50.000. Ved Face ID skulle tallet være en ud af en million.

Forbes kan dog også tage Schiller til indtægt for at ytre, at en persons dobbeltgænger eller tvilling muligvis kan låse telefonen op med ansigtet. Forbes stiller i øvrigt det interessante spørgsmål, om ansigtsgenkendelse i iPhone kan vise sig at gøre det lettere for politimyndigheder at tilgå indhold på telefonen sammenlignet med fingeraftryk.

Fra 2D-billede til 3D-maske

I forhold til ansigtsgenkendelse og folk, der ligner, så kunne det være en nærliggende tanke at forsøge at snyde Face ID med en 3D-printet maske. Og det behøver ikke nødvendigvis at være særlig vanskeligt at få lavet sådan et 3D-maske.

Forskere har eksempelvis i 2016 demonstreret en algoritme (PDF), der ud fra et enkelt 2D-billede er i stand til at lave en 3D-gengivelse af et ansigt. En af forskerne er Hao Li. Han er lektor ved University of Southern California, hvor han underviser i datalogi.

Derudover er han CEO i Pinscreen, som beskæftiger sig med virtuelle avatarer i 3D. Og så var han med til at lave Faceshift. Det er software til at indfange ansigter. Apple købte Faceshift i 2015. Og det skulle være denne software, som bliver anvendt i iPhone X til at indsætte sjove computer-ansigter, kaldet animojis, i stedet for folks egne ansigter på telefonen.

Hao Li fortæller via mail til Version2, at det vil være muligt at 3D-printe et ansigt ud fra et 2D-billede via den teknologi, han har været med til at udvikle. Hvorvidt det så vil være muligt at narre Face ID, er et andet spørgsmål.

»Der kan være yderligere funktioner (jeg tror ikke, Apple har dem endnu), såsom at identificere små bevægelser, så statiske objekter (som en maske, red.), ikke vil kunne bruges. Og så kan der også være yderligere genkendelsesegenskaber til at detektere, om nogen bærer en 3D-maske.«

Derudover bemærker Hao Li, at brugerens øjne skal være rettet mod kameraet. Han er i den forbindelse inde på, at man jo kunne printe huller i 3D-masken, så angriberens øjne måske ville kunne bruges.

»Man kan printe med nogle huller. Men [jeg er] ikke sikker på, hvor god detekteringen ville være,« skriver han.

Der er også den mulighed, at Apple anvender det infrarøde kamera på telefonen til at opfange en varmesignatur fra ansigtet, bemærker han. Igen en funktion, der kan vanskeliggøre brugen af en 'død' maske til at låse telefonen op med.

Vi må se

Præcis hvor svært eller let det bliver at narre Face ID, må tiden vise, al den stund, at iPhone X slet ikke er lanceret endnu.

»Hvis det viser sig ikke at være en gangbar sikkerheds-feature, så er jeg sikker på, Apples udviklere vil diske op med yderligere sikkerhedsfunktioner og opgraderinger (som dem nævnt ovenover),« skriver Hao Li og henviser blandt andet til registrering af ansigtsbevægelser, så en maske ikke bare kan bruges.

»Ikke desto mindre: Hvis det viser sig at være let at omgå denne sikkerhedsfunktion (Face ID, red.), så vil vi i bund og grund gå rundt med oplåste iPhones, og digitale betalinger vil let kunne udføres. iPhone-tyverier kunne nå nye højder.«

Her henviser Hao Li til, at Face ID på samme måde som Touch ID kan bruges til at autorisere betalinger på mobiltelefonen.

»For øjeblikket er jeg mere bekymret for, om det er en belejlig måde at sikre en telefon på, eftersom det kræver, at personen vender mod telefonen for at låse den op. Fingeraftryksfunktionen virker foreløbigt mere praktisk.«

Nedenfor kan ses en video, der demonstrerer den teknik, Hao Li har været med til at udvikle, hvor 2D-input bliver forvandet til 3D-billeder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Rastrup

For 99,x % af brugerne er truslen at nogen negler deres telefon. Kan den ikke låses op er den ikke værd at negle. Og standard lommetyve laver ikke masker med en større værdi end de kan få for telefonen.

Hvis man har et andet trusselsbillede så brug anden sikkerhed.

Mere læsning https://www.troyhunt.com/face-id-touch-id-pins-no-id-and-pragmatic-secur...

  • 8
  • 1
Jan Rasmussen

Jeg undrer mig over den her diskussion kommer frem nu. Vi har brugt Surface Pro i årevis med face recognition. Og den kan se forskel på tvillinger og virker i mørke.
Jeg har ikke set nogen som er lykkedes med at snyde den endnu.
Her er en demo: https://www.groovypost.com/unplugged/can-you-trick-windows-hello-with-a-...
Hvis iPhone har samme sikkerhed som den har, så er den mere sikker end fingeraftryk, og data gemmes i TPM chip, på PC i hvert fald.

  • 4
  • 0
Ole Tange Blogger

At en enkelt person ikke kan finde ud af at omgå sikkerheden er ikke nok til at vise, at det er sikkert nok.

Det ville gavne min tillid til systemet, hvis der var en konkurrence, hvor man vinder en anseelig præmie for at vise, at man kan omgå sikkerheden i eet tilfælde. Præmien skal være så høj, at top sikkerhedsfolk vil kunne have lyst at prøve kræfter med systemet.

Det ville også gavne min tillid, hvis man lave noget tilsvarende konkurrencen for udvælgelsen af AES.

Ved du, om der er sådanne konkurrencer?

  • 1
  • 0
Jakob Damkjær

For at se ir prikkerne skal telefonen bruge et ir kamera... så det kamera kan se temperaturen på huden af brugeren...

Så en eventuel maske vil også skulle ligne et menneske amsigt i IR spektret... så det ikke noget de måske gør... det gør de helt sikkert.

Derudover glemmer version2 også lige det specialiserede neural netværk hardware er bygget ind i chippen... et NN der bliver trænet på brugeren hver eneste gang brugeren åbner telefonen... Jup good luck trying to fool that... men lad det ligge.

Ja de har arbejdet med maskemagere for at sikre en maske ikke kan snyde systemet... hvad tror i de lavede ? Gækkebreve ? Hæklede huer ?

Selvfølgelig lavede de masker... de viste ovenikøbet billeder af maskerne under pressentationen... men det ville være vel voldsomt at se den når man skal skrive noget om den...

Så det er selvfølgelig fint at man kan printe 3D masker ud fra 2D billeder men jeg tvivler oprigtigt på at de er bedre end professionelles maskemagere.

Når det argument (at den ikke vil kunne se forskel på masker mennesker) ikke er voldsomt underbygget længere, så koger den her artikel basalt set ned til lidt frugtallergi uden så meget andet og det er bare lidt sørgeligt...

  • 4
  • 2
Jan Rasmussen

Der er standard bounty for security issues fra Microsoft.
De angiver Less than 0.001% or 1/100,000 FAR - som er bedre end finger aftryk læsere der normalt bruges.
Ingen har endnu snydt den.
Jeg stoler på den til Enterprise security. For at lykkedes med at logge på vil det nemmeste være at forsøge at skaffe adgang til Pin koden - det vil kræve så meget at snyde IR kamera at det er praktisk umuligt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize