Google: Nej, du kan ikke snyde nyt ansigts-login med et billede

Illustration: Android Logo
Det er ikke nok med et billede af din chef, hvis du vil forsøge at låse hans Android-telefon op. Det siger Google nu, efter spekulationer om sikkerheden i det nye login via ansigtsgenkendelse i Android 4.0.

Hold telefonen op foran dit ansigt, og vupti er den låst op, uden at man først skal tegne mønstre på skærmen eller indtaste pinkoder.

Det skulle blive muligt med den nye udgave af Android, som Google netop har præsenteret, men den nye funktion med login via ansigtsgenkendelse har ført til en diskussion om sikkerheden i løsningen.

Læs også: Android 4.0 lokker med bedre sikkerhed og flere mail-konti

Kan man for eksempel printe et billede ud af sin chef eller sin kæreste, holde det op foran telefonen og få adgang til telefonen?

Nej, siger Google nu. I en Twitter-besked fra Googles udvikler-talsmand Tim Bray lyder det kort: ’Nope. Give us some credit’. Det skriver The Next Web.

Beskeden er et svar til udvikleren Koushik Dutta, der står bag den populære ulåste udgave af Android Cyanogenmod. Han skrev nemlig på Twitter, at Face Unlock-funktionen er meget nem at hacke med et foto.

Andre har spekuleret i, om sminke eller et sæbeøje vil betyde, at man ikke kan få adgang, men ansigtsgenkendelse er ligeglad med den slags kosmetiske ændringer. Det er de mere grundlæggende træk, som afstand mellem øjnene og ansigtets form, der betyder noget. Man kan også altid logge ind på normal vis, hvis der for eksempel ikke er nok lys til, at kameraet kan se ansigtet klart.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Svend Eriksen

Under præsentationen kunne man se, at det ikke rigtig virkede pga. det var for mørkt i rummet. Det vil være lidt nitte, hvis man ikke kan låse sin telefon op fordi man går rundt om aftenen, eller sidder i et halvmørkt rum.

  • 4
  • 12
Svend Eriksen

Ja, men det virker da godt nok en en kikset løsning og får hele ansigtsgenkendelsessikkerheden til at virke lidt overflødig. Hvis den skulle have en reel eksistensberettigelse burde den virke hele tiden, og ikke kun i de bedste betingelser.

Der skal ikke meget mørke til før et mobilkamera må kæmpe, så man kunne godt forestille sig at det ikke engang ville virke indenfor i en almindelig stue, hvis det var overskyet udenfor og man ikke lige sad under en lampe.

Jeg siger ikke at der ikke vil være nogen som synes at det er sjovt at bruge, men det er højst en gimmick, og ikke noget Google og Samsung burde have fremhævet - især i lyset af at det ikke virkede under præsentationen! ;-)

  • 2
  • 13
Torben Mogensen Blogger

Hvis et foto ikke er nok til at snyde ansigtsgenkendelsen, så må det være fordi den bruger noget dybdeinformation. Det kan den få enten via dybdeskarphed, ansigtets bevægelse relativt til kamera eller ved at bruge flere kameraer. Men i givet fald kan man måske snyde den ved at lave et 3D print af ansigtet af sin chef (eller hvem, man nu vil udgive sig for). Et par fotos burde være nok til at lave en 3D rekonstruktion, der er tilstrækkelig god til at snyde scanneren.

  • 3
  • 1
Jakob Damkjær

"Nope. Give us some credit"

nope, hvad med at i fortæller om hvordan i sikre at det ikke kan snydes af billeder... eller er google nu nået til security by obscurity... her gik jeg og troede at google var "open®"...

og hvornår er det nu at android 4.0 kommer som "openscource®" ?

  • 1
  • 8
Venligst Slet Min Bruger

nope, hvad med at i fortæller om hvordan i sikre at det ikke kan snydes af billeder... eller er google nu nået til security by obscurity... her gik jeg og troede at google var "open®"...

Uanset hvad Google så fortalte dig, ville du jo stadigvæk være utilfreds, fordi der ikke står Apple på bagsiden.

Jarle:

Nu har jeg ikke lige lyd her, men hvordan en ukendt fingeraftryksscanner virker i et halv-videnskabeligt tv-show har vel intet at gøre med, hvordan Googles ansigtsgenkendelse fungerer?

  • 3
  • 3
Jakob Damkjær

Et par uger efter Galaxy Nexus udkommer.

Så må man jo se om det kræver en google service kontrakt for en google tjeneste for at virke... og om kildekoden for ansigtsgenkendelsen så frigives... Men hvis det sker (at kildekoden frigives) hvorfor forklare de så ikke bare nu hvordan de kan regne sig frem til at de fotoner der reflekteres fra et billede ikke er et hoved/ansigt... men istedet bare siger "trust us"...

  • 0
  • 2
Theis Blickfeldt

Uden at vide præcis hvordan Google har udarbejdet sin ansigtsgenkendelses algoritme, så plejer det at bygge på at man genkender visse fixpunkter i ansigtskonjukturerne og indlægger vektorer mellem punkterne. Forholdene mellem vektorerne udgør så de parametre som måles på. Hvis man bevæger sit ansigt (selv bare en lille smule), vil vinklen i forhold til kameraet ændre sig, og derved også længderne af vektorerne, men forholdet imellem dem vil forblive det samme. Så hvis man indfører et krav om en vis mængde fleksebilitet (altså ændringer vektorlængderne) og at der samtidig skal være et forholdsvist statisk forhold mellem vektorerne, så kan man nemt skelne et billede fra en levende person.

Men hvis du laver en eksakt 3D udformning af chefens ansigt, så kan du sikkert godt bryde ansigtsgenkendelsen. Men så er du også lidt for ivrig efter at få fat i de nøgenbilleder der ligger på hans mobil ;)

  • 1
  • 0
Jarle Knudsen

Jeg kan godt følge tankegangen, men mener stadig at med et 2d kamera vil det være nemt at snyde med et billede.

Vil under alle omstændigheder, prøve dette når jeg får ny android telefon om ikke så længe :O)

Emnet blev i øvrigt diskuteret en del gange her og mener at konklusionen var at biometri alene er en falsk sikkerhed da man efterlader "sit kodeord" (i form af fingeraftryk, ansigt etc.) overalt. Desuden kan biometrisk "kodeord" (fingeraftryk, ansigt etc.) ikke udskiftes dersom det bliver kompromitteret.

  • 2
  • 0
Theis Blickfeldt

Nu er det jo ikke statshemmeligheder vi snakker om. Bevares, selvfølgelig kan man omgå sikkerheden ved at kopiere fingeraftryk eller lignende, men prøv at se det i lyset af at man har sin telefon liggende og ikke vil have at ens venner begynder at læse de private SMS'er eller at det skal reducere grundlaget for at tyve snupper mobilen under en bytur. Da er sådanne sikkerheder ganske ganske ganske fine. Man skal bare have en barriere som ikke umiddelbart gør det muligt at få adgang til telefonen, men samtidig skal give hurtig og ubesværet adgang for ejeren.

PS. Jeg har forsøgt at snyde ASUS's 2D ansigtsgenkendelses-algoritme med billeder et hav af gange, stadig uden held.

  • 2
  • 0
Jakob Damkjær

Der kan modstå en kompetent velforberedt og tålmodig angriber... Selv med dedikeret 24/7 overvågning.

Men det var ikke pointen. Der var nogen (mig selv inklusive) der pointerede at ens ansigt er en dårlig biometrisk kode da det er den biometriske information man deler mest ud af i form af billeder.

Google kom så tilbage med kommentaren... "give us sine crédit" hvor de hævder at billeder af ens ansigt ikke er nok til at åbne deres biometriske ansigts lås. At de havde lavet noget snedigt og hemligt så låsen ikke kunne snydes af et billede... Det viser sig så nu ikke er tilfældet...

Derfor må svaret på googles "gives us some credit" være "not today" er det nok skåret ud i pap ?

  • 1
  • 1
Log ind eller Opret konto for at kommentere