ZlydenGL
Moderator | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возвращаясь к FaceID и его "эффективности": Два похожих россиянина взломали Face ID и потребовали миллион долларов от Apple. И это происходит далеко не в первый раз. Причём если поискать - таких случаев немало по всему земному шарику, на разных языках и в разных странах.
Мне стало интересно: неужели Apple на это никак не отреагировала? Перечитал ещё раз их оффсайт и нашёл довольно интересный момент в их статье:
Цитата:| Вероятность того, что другой человек сможет разблокировать ваш iPhone или iPad Pro с помощью Face ID, составляет 1 из 1 000 000, если зарегистрирован только один внешний вид. В качестве дополнительной меры безопасности допускается только пять неудачных попыток разблокировки с помощью Face ID, после чего будет запрошен пароль. Для близнецов, похожих друг на друга братьев и сестер, а также для детей младше 13 лет, у которых могли не до конца сформироваться характерные черты лица, статистическая вероятность другая. Если вы опасаетесь случайной разблокировки устройства в каком-либо из этих случаев, рекомендуем использовать для аутентификации пароль. |
Получается, что заявленная "точность"
Цитата:соблюдается ТОЛЬКО ДЛЯ ЗАВЕДОМО РАЗНЫХ людей. Если в популяции будут близнецы или просто похожие индивидуумы - будет другая, НЕЗАЯВЛЕННАЯ, статистическая вероятность. Причём, если погуглить, чему всё-таки хотя бы приблизительно равна эта самая вероятность, из более-менее объективных и авторитетных источников вылазит только статья Enough Already With The Stupid Face ID 'Twin Test'. Ключевой момент оттуда:
Цитата: Face ID is 99.997 percent secure
What we’ve learned from these tests is that it is, in fact, possible that some identical twins can fool Face ID and gain access to the iPhone X. What we know from the twins data, is that this is only an issue for 0.35 percent of the world—at most. |
Перевожу:
Цитата: FaceID безопасен на 99.997 процентов
Мы узнали из этих тестов то, что по факту, у идентичных близнецов есть возможность обмануть FaceID и получить доступ к Iphone X. Что мы знаем из данных о близнецах, это то, что данный момент может стать проблемой только для 0.35 процентов населения мира - в худшем случае. |
На слух кажется ОК, правда? Но есть нюанс: 0.35% для любого специалиста ИБ означает чуть ли не выстеленную ковровую дорожку ко взлому. Это ОФИГЕННО большая вероятность возникновения проблемы. Поскольку та же цифровая трёхмерная модель головы "атакуемого" - это тот самый идентичный двойник и в случае, если для кого-то из пользователей это МОЖЕТ стать проблемой (а это может стать для ЛЮБОГО атакуемого) - Apple страхуется как раз фразой
Цитата:| рекомендуем использовать для аутентификации пароль. |
Но как же воспользоваться этой схемой взлома? А очень просто, поскольку нужны всего 2 компонента: сделать 3D снимок лица "атакуемого", а затем этот снимок воспроизвести в объёме. И вот что сейчас есть по этой части.
1. 3D принтеры с точностью воспроизведения до 0.4мм - это даже не средний сегмент, это бюджетные решения стоимостью до 10 тысяч рублей. Печать маски - да, может занять до суток, но как бы то ни было - воспроизвести "двойника" "атакуемого" проблемы особой нет.
2. А вот с 3D сканерами ситуация немного другая... была. В текущее время этих сканеров на вкус и цвет есть воз и маленькая тележка, со вполне подходящей разрешающей способностью. И это не говоря уже про различные deepfake нейросети, которые вполне адекватную маску умеют накладывать и на видео, т.е. с достаточной точностью могут воссоздать 3D маску по набору обычных двухмерных фотографий.
Да ладно, это всё теория, скажете вы... И будете неправы. Банальный гуглёж показывает, что всё чаще и чаще в медиапространство попадают истории по одной кальке: увели айфон - успели снять все деньги либо до блокировки, либо буквально в момент. Что-то мне подсказывает, что в большинстве подобных случаев схема атаки была как раз через "двойника". Можно сказать - как же так, ты же сам выше писал, что печать маски может занимать очень продолжительное время? А всё очень просто: во-первых, "отжим" можно произвести в два этапа (в первый день сделать снимок, спокойно его распечатать, на следующий день отжать Iphone и спокойно его разблокировать заранее распечатанной маской), во-вторых, если не печатать всю голову и рискнуть качеством во имя скорости (например есть инфа, что основная точность должна приходиться на крылья носа и бровей, остальное можно распечатать намного грубее), то время печати сокращается буквально до пары десятков минут и меньше. Т.е. к примеру если "отжимается" айфон в метро, есть неплохой шанс, что маска успеет допечататься до того, как человек даже на поверхность поднимется.
И самая вишенка на торте: Apple не может не понимать, что "эпоха FaceID" обречена, поэтому... New iPhone 13 leak says Touch ID is making a big comeback.
Вот такие дела... Так что если у вас к айфону привязана платёжная карта и включен FaceID - страхуйтесь другими средствами, вплоть до отключения платёжной карты. Ну или не говорите потом, что вас не предупреждали 
----------
Переработал: втыкая аккумулятор в шуруповерт пытаешься передёрнуть затвор |
|
! 
Плюс ещё такой момент: помнишь недавний скандал, что ультразвуковые "пальчики" на флагманах можно разблокировать хоть резинкой? Правда, там оказался нюанс: чтобы этот "хак" сработал, пользователь должен был зарегистрировать свои пальчики через ОЧЕНЬ ДЕШЁВУЮ плёнку, элементы которой - а не сам палец - в конечном счёте считывал сканер. К чему это я? А очень просто: вполне возможно, что описанный "взлом" проходил далеко не так просто, как описывают в том же Хакере. У меня S8 в наличии не было, сказать ничего не могу, но вероятность допускаю 