Nessuno sblocco biometrico è inviolabile, nemmeno il Face ID di iPhone X

13 Novembre 2017 388

Una delle principali novità di Apple iPhone X è il Face ID, il sistema di sblocco biometrico effettuato attraverso una mappatura 3D del volto; soppianta il tradizionale Touch ID, più banalmente la scansione delle impronte digitali. È un cambiamento che permette al dispositivo di avere un look "tutto schermo", ma è anche un avanzamento in termini di sicurezza: la dirigenza stessa di Apple ha dichiarato che la probabilità di uno sblocco erroneo effettuato da un estraneo sono di una su un milione con Face ID, contro l'una su 50.000 con Touch ID.


In fase di presentazione, Apple ha anche detto di aver lavorato con make-up artist e specialisti di maschere di Hollywood per assicurarsi la massima affidabilità nel caso di uso di tecniche che, per quanto sembrino un po' "da film" per noi normali utenti, non vanno sottovalutate quando si pensa a politici, dirigenti di grandi imprese, celebrità e altre persone d'interesse. Nella propria recensione del terminale, il Wall Street Journal ha usato una maschera di silicone per tentare di aggirare il sistema, senza riuscirci.


Tuttavia Bkav, una delle più grosse società di sicurezza vietnamite, ha pubblicato un video in cui dimostra di essere riuscita a costruire una maschera che batte gli algoritmi di Apple. È un po' inquietante a vedersi, ma realizzarla costa relativamente poco: circa 150 dollari. Vengono combinate diverse tecniche: stampa 3D per la struttura generale, immagini 2D per gli occhi e silicone per il naso. Nelle zone in cui c'è una porzione di pelle uniforme relativamente ampia, come la fronte e le guance, si fa riferimento a una "tecnica di elaborazione speciale" non meglio specificata, ed è l'unico punto da chiarire.

È interessante che una società di ricerca sia riuscita a sviluppare una soluzione del genere in così poco tempo, ma è altrettanto vero che la notizia va contestualizzata e capita. Primo, il video non dimostra che Face ID è "un fail", solo che non è inviolabile, e che per quanto siano molto più comodi, gli sblocchi biometrici non offrono necessariamente una sicurezza migliore di una o più password ben studiate - ovvero belle lunghe e difficili da indovinare.


Inoltre, si può argomentare che riprodurre un'impronta digitale sia più facile che riprodurre un volto. In questo caso, poi, il soggetto non è stato costretto contro la sua volontà, anzi, si stava impegnando in prima persona per ottenere questo risultato.

In ultimo, notizie come questa ci possono aiutare a capire la portata, il potenziale e i limiti delle nuove tecnologie: conoscerli è importante anche quando sembrano talmente estremi che non riusciamo a immaginarne un'applicazione nella vita di tutti giorni. E può servire ai produttori per affinare e perfezionare i loro prodotti.

Apple iPhone X è disponibile su a 879 euro.
(aggiornamento del 25 maggio 2018, ore 16:31)

388

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Sagitt

Non tutte le banche lo chiedono maestro di vita

Max

Perché se usi un S6 ti sei abituato a quella porcheria. Poi provi un OP5 e resti così

Max

Basta prenderle da qualsiasi cosa tu abbia toccato...

Max

Certo e tu lo fai tutti i giorni prima e dopo i pasti. Che ci vuole

Max

Nel senso che raccoglierlo ed analizzarlo in real time per sbloccare un telefono mi sembra una c4gata

Max

Contro corrente? E la corrente sarebbe il ciarpame Samsung?

Sagitt

Sì, mi raccomando fai anche analisi del testo

Zorshark

Diciamo che con l's6 è iniziato il miglioramento

Darkat

Come vuoi, domani mi ci metto

dario

potrebbe essere stato tagliato e montato così ma non si nota alcun taglio interno. il piano sequenza, se fosse un fake, sarebbe un fake perfetto, con la difficoltà ulteriore di essere stato realizzato non con cavalletto ma a mano libera... non è impossibile, zack king ad esempio ci riesce egregiamente (non per altro però è una star mondiale su yt), però boh, mi riesce più facile credere che sia genuino, tanto più che si tratta di un'azienda che si occupa di sicurezza da molti anni, non di un tizio in cerca di un po' di fama.
comunque tutto è possibile, tecnicamente è possibile manomettere qualunque video, dico solo che non ci sono macroerrori così evidenti da spingermi ad accusarli che sia un fake, se lo è hanno fatto un ottimo lavoro! :D

Francesco Alejandro

1. Il video potrebbe anche essere stato tagliato e montato in quel modo e, ripetendolo ancora una volta, non perchè ci sia riuscito lui, significa che sia effettivamente così!
2. Non si fa in tempo a vederlo, ma di solito ci accorge comunque dell'animazione. Anche sul 5 che non ha neanche il Touch ID, quando inserisci il codice, per un millesimo di secondo viene visualizzato il lucchetto aperto nella status bar e la scritta "Sbloccato".

Ho i miei dubbi circa l'empiricità di QUESTO "esperimento", ma non metto in dubbio che il Face ID sia violabile, come qualsiasi sistema può esserlo.

Ganzissimo

Oltretutto se la faccia viene male in alcuni punti si può coprire con sciarpa o occhiali . Con barba o altro.

Alessandro

Questo non lo sai, iPhone non distribuisce i criteri di sblocco

andrea55

Ovviamente va riprodotta ma non serve il dito per riprodurla

Dark!tetto

Non è come nei film, non basta l'impronta, il sensore rileva anche gli strati sottostanti quindi non basterebbe.

TheRealTommy

Il video significa molto poco perché non è chiaro quante volte si è provato a sbloccarlo.
Ogni volta però che si prova, il face id non approva la faccia e si inserisce il pin per riprovare di nuovo, il face id impara nuovamente la faccia, sbloccandolo alla volta successiva.

andrea55

In realtà non serve il dito ma solo l'impronta digitale che lasciamo su ogni cosa che tocchiamo.
Apple non ha mentito, in realtà detto tutto, ovviamente ha enfatizzato la parte positiva, sta poi all'utente leggere tra le righe

Tony Musone

ah... miliardi di persone che non avendo mai usato il face id han decretato più comodo il touch id? e di grazia dove l'avresti letto?

e poi mi vorresti far credere che toccare un sensore e quindi fare un gesto in più sia più comodo che fare qualcosa che faresti ugualmente, guardare lo smartphone? ... apperò ;)

Davide

Che bello negare la realtà solo per continuare andare contro corrente

Mongomeri

No, perché la maschera è simile: di conseguenza considererà la maschera come una variazione della mia faccia.
Se mi dovessero venire gli orecchioni, mi aspetto che il FaceID continui a riconoscermi sia da malato che successivamente :)

andrea55

Appunto parenti stretti, con i gemelli lo sblocco è sicuro ma è molto probabile anche con parenti somilianti

KenZen

Troppa fantascienza però dai. Un dispositivo che scansiona i volti a 3-5 mt di distanza e non completamente (mica ti fermi e gli ruoti la testa davanti :D) non credo possa essere alla portata di tutti.
Saluti

dario

la considerazione sulla maschera 3d è l'unica corretta, e non è da poco: non è una comune maschera questa, unisce varie tecnologie anche abbastanza costose e richiede un modello 3d accurato del volto del "derubato".
in pratica, si dimostra che è tecnicamente aggirabile, non che questo lo rende meno sicuro, perché i metodi per aggirarlo sono estremamente complessi.
quanto a 1) e 2), invece:
1) lo sblocca anche con la sua faccia, per cui è evidente che la registrazione è stata effettuata con quella. o, se è stata effettuata con la maschera, che considera la maschera esattamente come il suo volto, per cui poco cambierebbe.
2) se si effettua lo swipe verso l'alto molto in fretta non si fa necessariamente in tempo a vedere il lucchetto aperto, ma il fatto che si sia sbloccato è evidente, così come il fatto che sia impostato il face id come metodo di sblocco.

Sagitt

si tu, spari sentenze senza prove
Vai a recuperare i commenti e screen dove dico esattamente che è 100% inviolabile anche con i calchi poi ne riparliamo

Mastro Tracco

Io non lo vedo, ma anche se fosse non si sa come ha fatto la configurazione e cosa era attivo come per esempio il fatto che lo devi guardare, è chiaramente un fake.

Sagitt

è sicuro allo stesso modo

Sagitt

anche del volto non basta una foto

Ciskje

l'archi

Ciskje

con una serie di foto puoi ricostruire una superficie 3d con molto dettaglio.
cerca 3d reconstruction from multiple images

Ciskje

non sai di cosa parli.

Ciskje

serve un calco 3d non basta l'impronta su un bicchiere.

Ciskje

basterebbe anche usare un dispositivo con la tecnologia stessa del faceID, e piazzarlo sullo stipite di un luogo pubblico in cui passi sicuramente.

Ciskje

nel senso che è difficile raccogliere il tuo DNA in tutto quello che tocchi ?

Ciskje

che apple mente quando dice che è molto più sicuro di TouchID

Ciskje

basta una scansione con un dispositivo simile alla tecnologia del FaceID, e mettere una scanner in un luogo pubblico in cui passi di sicuro.

Ciskje

ci sono già due video di fratelli non gemelli in cui faceid sblocca.

Ciskje

stampa 3d con filo PLA (si vedono chiaramente i rimasugli sulla "maschera") fattibile con una stampante da 100 euro, calco in silicone (non difficilissimo), e le foto degli occhi/bocca stampate e appiccicate con la coccoina.

Ciskje

la scorciatoia FaceID è diventata più lunga.

Ciskje

confermo, quelli nuovi ad ultrasuoni sono molto più efficienti.

Ciskje

non basta una ditata da qualche parte, deve essere un calco.

Ciskje

e infatti è facilissimo che io ti dia le mie dita per fare un calco. Al contrario una scansione del tuo volto con la stessa tecnologia del FaceID ci vuole ben 1 secondo di scansione.

Ciskje

hai centrato il problema, faceID è riconosciuto che sia insicuro, e non deve essere usato in futuro.

Ciskje

lui è tutti quelli che usano il touchID, qualche miliardo.

Ciskje

se viene addestrato a riconoscere la maschera non deve riconoscere più il proprietario invece alla fine del video si vede che lo sblocca.

Ciskje

hai notato vero che gli occhi sono appiccicati come carta pesta ad una maschera fatta con una stampante 3d a filo PLA?

Ciskje

"solo", in fondo è solo un'azione da ripetere 500 volte TUTTI i giorni.

Ciskje

basterebbe anche una scansione con un dispositivo simile all'iPhoneX (quindi con 1 secondo a disposizione!).

Ciskje

RIprodurre un dito è facile, ma deve darti il dito il proprietario, mentre la scansione della faccia può essere pure fatta di nascosto (ad esempio con scanner piazzati in luoghi pubblici).
Diciamo che Apple ha mentito, il TouchID è più sicuro. (sempre meno che una password).

Ciskje

il lucchetto si vede metti a 0.25x il play

Pistacchio

Percentuale batteria ?
Ora chiedi troppo

Apple, dove stai andando? | Editoriale

iPhone X: tutte le GESTURE di sistema #guida | Video

iPhone X: doppio live batteria | Fine ore 19:00 e 20.40

iPhone X disponibile all'acquisto a partire da 1189€: lo comprerete? | Video