Face ID omzeilen is mogelijk, maar dat zegt niets

In 2013 werd Touch ID binnen twee dagen gekraakt en nu is Face ID de klos. Het Singaporese beveiligingsbedrijf Bkav heeft de gezichtsscanner van de iPhone X omzeild met een masker. Het koste wel behoorlijk wat moeite en vijf dagen tweaken.

Onderzoekers van het bedrijf lieten een masker 3D-printen, een kunstenaar een neus van siliconen maken en brachten make-up aan op het masker. Op die manier werd de structuur van een huid nagebootst.

Masker

Opmerkelijk is dat het Wired Magazine eerder niet lukte om Face ID te omzeilen met een masker. Bkav heeft Face ID om de tuin kunnen leiden omdat het weet op welke gelijkenissen de gezichtsscanner let. Het bedrijf zegt dat Apple de validatie niet streng genoeg heeft gemaakt en gaat meteen over op het afschrijven van gezichtsherkenning als beveiligingsmaatregel. Touch ID zou volgens Bkav veiliger zijn dan Face ID, een redenering die wij niet helemaal kunnen volgen. Dat Face ID binnen vijf dagen met een masker te kraken is, zegt sowieso vrij weinig omdat allerlei praktische maatregelen dit voorkomen.

Face ID

In de praktijk bijna onmogelijk

Het beveiligingsbedrijf gebruikte de iPhone X van een medewerker voor dit experiment. Zijn gezicht was geregistreerd in de iPhone en het masker werd aan de hand van een 3D-scan van zijn gezicht gemaakt. Het maken van een 3D-scan van iemands gezicht kan in de praktijk echter niet zo snel. Bkav zegt dat het misschien ook aan de hand van foto’s lukt, maar heeft dit niet getest. Daarnaast duurde het vijf dagen om het masker te perfectioneren en Face ID te misleiden. Een iPhone vraagt na vijf mislukte pogingen om een gezicht te herkennen echter om de code. Als de gezichtsscanner 48 uur niet gebruikt is, wordt sowieso om de code gevraagd.

Een kwaadwillende zou dus onopgemerkt een 3D-scan van je gezicht moeten maken, dit binnen 48 uur 3D-printen, een kunstenaar een neus van siliconen moeten laten maken en make-up aanbrengen. Het masker moet dan zó goed zijn dat het direct werkt, of binnen vijf pogingen aan te passen is. Bkav zegt niet hoeveel pogingen het heeft gedaan, maar gezien het vijf dagen duurde voordat het masker werkte, zullen het er meer dan vijf zijn.

Het maken van een masker is bovendien lastiger dan het kopiëren van een vingerafdruk met een doorzichtig stuk plastic en latexmelk. De gegevens op de telefoon van een willekeurige gebruiker rechtvaardigen deze moeite niet. Bij politici of zakelijke zwaargewichten kan de moeite wel lonen, maar het misleiden van Face ID vereist veel meer moeite dan Touch ID. De onderzoekers hebben dus eigenlijk aangetoond dat Apple’s gezichtsscanner veiliger is dan Touch ID. Gelukkig maar, want iPhone X-gebruikers en ING-klanten kunnen al met Face ID betalen.

Dit artikel verscheen als eerste op Onemorething.nl.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Er zijn nog geen reacties op dit artikel achter gelaten. Ben jij de eerste?
Apple iPhone X inbranden

iOS 11.1.2 maakt de iPhone X winterproof lees verder

Face ID

Face ID omzeilen is mogelijk, maar dat zegt niets lees verder

iphone x notch

Hoe je de notch van de iPhone X kunt verbergen lees verder

ios 11

De rekenmachine in iOS 11 faalt – gebruik ‘m dus niet lees verder

iOS 11.1

Zorgt de iOS 11.1 bug ervoor dat je de ‘i’ niet kunt typen? Zo los je het op lees verder

WhatsApp

Storing WhatsApp zorgt ervoor dat je geen berichten kunt versturen en ontvangen lees verder

Volg ons via

Nieuwsbrief

Want.nl is een samenwerking tussen Wayne Parker Kent en Qontent Matters