Face ID omzeilen is mogelijk, maar dat zegt niets

Raymon op 13 november 2017 17 reacties Laatste door Odiebla

In 2013 werd Touch ID binnen twee dagen gekraakt en nu is Face ID de klos. Het Singaporese beveiligingsbedrijf Bkav heeft de gezichtsscanner van de iPhone X omzeild met een masker. Het koste wel behoorlijk wat moeite en vijf dagen tweaken.

Onderzoekers van het bedrijf lieten een masker 3D-printen, een kunstenaar een neus van siliconen maken en brachten make-up aan op het masker. Op die manier werd de structuur van een huid nagebootst.

Masker

Opmerkelijk is dat het Wired Magazine eerder niet lukte om Face ID te omzeilen met een masker. Bkav heeft Face ID om de tuin kunnen leiden omdat het weet op welke gelijkenissen de gezichtsscanner let. Het bedrijf zegt dat Apple de validatie niet streng genoeg heeft gemaakt en gaat meteen over op het afschrijven van gezichtsherkenning als beveiligingsmaatregel. Touch ID zou volgens Bkav veiliger zijn dan Face ID, een redenering die wij niet helemaal kunnen volgen. Dat Face ID binnen vijf dagen met een masker te kraken is, zegt sowieso vrij weinig omdat allerlei praktische maatregelen dit voorkomen.

Face ID Masker

Klik/tap voor groter.

In de praktijk bijna onmogelijk

Het beveiligingsbedrijf gebruikte de iPhone X van een medewerker voor dit experiment. Zijn gezicht was geregistreerd in de iPhone en het masker werd aan de hand van een 3D-scan van zijn gezicht gemaakt. Het maken van een 3D-scan van iemands gezicht kan in de praktijk echter niet zo snel. Bkav zegt dat het misschien ook aan de hand van foto’s lukt, maar heeft dit niet getest. Daarnaast duurde het vijf dagen om het masker te perfectioneren en Face ID te misleiden. Een iPhone vraagt na vijf mislukte pogingen om een gezicht te herkennen echter om de code. Als de gezichtsscanner 48 uur niet gebruikt is, wordt sowieso om de code gevraagd.

Een kwaadwillende zou dus onopgemerkt een 3D-scan van je gezicht moeten maken, dit binnen 48 uur 3D-printen, een kunstenaar een neus van siliconen moeten laten maken en make-up aanbrengen. Het masker moet dan zó goed zijn dat het direct werkt, of binnen vijf pogingen aan te passen is. Bkav zegt niet hoeveel pogingen het heeft gedaan, maar gezien het vijf dagen duurde voordat het masker werkte, zullen het er meer dan vijf zijn.

Het maken van een masker is bovendien lastiger dan het kopiëren van een vingerafdruk met een doorzichtig stuk plastic en latexmelk. De gegevens op de telefoon van een willekeurige gebruiker rechtvaardigen deze moeite niet. Bij politici of zakelijke zwaargewichten kan de moeite wel lonen, maar het misleiden van Face ID vereist veel meer moeite dan Touch ID. De onderzoekers hebben dus eigenlijk aangetoond dat Apple’s gezichtsscanner veiliger is dan Touch ID. Waarvan akte.

Raymon is vaste redacteur bij OMT, maar noemt zich liever redactieninja. Ook te volgen op Twitter en wekelijks te horen in de TechSnacks Podcast. Lees meer artikelen van Raymon.

En nu?

17 reacties

Profielfoto

KR1275 op 13 november 2017

Maar… waarom wil men van mij vingerafdrukken en geen gelaatsafdruk? Denk aan paspoort en douane.
Hoevaak is de iPhone met Touch Id nou echt gekraakt om bij iemands data te komen?? Het valt allemaal best mee.

Profielfoto

ArtHarg op 13 november 2017

Het is zó makkelijk om Face ID te omzeilen! Het enige wat je hoeft te doen is 6 goedgekozen getallen in te tikken en je bent langs Face ID!

Profielfoto

maconly op 13 november 2017

oh eitje

Profielfoto

ln.XSOcam op 13 november 2017

Ik begrijp nooit zo goed waarom je moet publiceren als je denkt iets te kunnen kraken. De publicatie maakt het vooral extra onveilig. Opdat wij dan allemaal zeggen hoe goed die mensen zijn of zo ? Goh wat zijn jullie knap? Egootjes….

Profielfoto

Shmoo op 13 november 2017

Je zou er maar zo uitzien. Ik bedoel, als je toch lijkt op dat masker dan heb je denk ik grotere problemen dan het unlocken van een superhippe telefoon. Waarschijnlijk zijn ze dan nog wel even met je bezig in het ziekenhuis.

Profielfoto

DBLCreations op 13 november 2017

Het is zó makkelijk om Face ID te omzeilen! Het enige wat je hoeft te doen is 6 goedgekozen getallen in te tikken en je bent langs Face ID!

Maar dat geld dan toch ook voor touch id?

Profielfoto

veenbeest op 13 november 2017

Och, zo’n masker is gewoon heel veel werk. Waar ik me meer zorgen om maak is dat iemand je telefoon die naast je ligt oppakt en zegt ‘Hé!’. Je kijkt om en hij houdt de telefoon voor je gezicht. Ontgrendeld.
TouchID heeft 1 aspect goed: je houdt de telefoon fysiek vast.

Profielfoto

Odiebla op 13 november 2017

Apple zou de opties van FaceID moeten uitbreiden met:

1) een keuze optie om de interval voor verplichte pincode te verkorten naar bijvoorbeeld 3 tot 6 uur.

Nu is de interval (meen ik) 48 uur, in theorie heeft een aanvaller dus 48 uur de tijd om een masker te produceren en de telefoon daarmee te proberen te foppen. Door dit te verlagen naar 3 of 6 uur is dit window of opportunity weer aanzienlijk lager. Ik zou het er voor over hebben om minstens 1x per 6 uur mijn pincode in te moeten voeren.

2) een keuze optie om faceID te kunnen combineren met een (korte, 4 digit) pincode. Hierdoor ontstaat een combinatie van must-have en must-know. Om te voorkomen dat je met FaceID niet meer kan inloggen zou er een backup moeten komen van een strong-pin (bv minimaal 8 digits or meer).

Beide opties zijn redelijk simpel in een upgrade toe te voegen en geven de gebruiker de keus om het beveiligingsniveau van de X aanzienlijk op te voeren. Maar ja, Apple houdt niet van keuzes voor de gebruiker… Daarbij: als je telefoon dermate gevoelig materiaal bevat dat je vatbaar zou kunnen zijn voor een FaceID attack dan zou je denk ik FaceID helemaal niet moeten gebruiken (en misschien het materiaal niet zomaar leesbaar op een iPhone moeten vervoeren).

Profielfoto

Barika Cala Saidah op 13 november 2017

@KR1275, besef vooral dat Apple momenteel één van de krachtigste biometrische engines over de hele wereld beheerst. Dezelfde algoritmes en diens specifieke hardware zijn nu eenmaal niet in het bezit van overheidsdiensten.
Een vingerafdrukscan werkt relatief betrouwbaar en eenvoudig, wanneer zulke instanties over iets beschikken wat werkt, is verandering niet nodig, zoals jezelf zegt valt dat kraken van vingerafdrukken best wel mee.

@veenbeest, daar ben je fout, Touch ID vereist enkel contact tussen de vingertop en de thuisknop, dit kan gemakkelijk door iemand anders gedaan worden terwijl de persoon in kwestie aan het slapen is. Je moet je telefoon dus zeker niet vasthouden.
Kan enige iPhone X-gebruiker me vertellen of het scenario beschreven door @veenbeest kan opgelost worden door je ogen bijvoorbeeld halfjes te sluiten, of je hoofd wat te draaien terwijl je je iPhone X probeert terug te graaien? Dankje!

@Odiebla, fijne oplossingen, maar het doet me erg aan Android denken. Neem nu de laatste uitgaven van de Samsung Galaxy S- en Samsung Galaxy Note series, je hebt 3 verschillende biometrische authenticatiemogelijkheden als ik het goed heb, namelijk gezichtsherkenning, vingerafdrukherkenning en irisherkenning. Dit zijn 3 manieren, elk hebben ze hun voor- en nadelen volgens mij. Maar tijdens die geruchtenmolen van de iPhone X, werd het mij –na de claim van Ming Chi Kuo in het voorjaar over het feit dat Touch ID zou verdwijnen– al snel duidelijk. Waarom zou je in godsnaam ooit voor verschillende mogelijkheden kiezen i.p.v. één manier proberen te maken die zo hoog mogelijk scoort op alle criteria die je je maar kan bedenken?!

Oké even OT, iets cruciaal wat deze nietsnutten zijn vergeten te tonen is of “Require Attention for Face ID” ingeschakeld stond, dit is een enorme veiligheidsbarrière om te overbruggen.

Profielfoto

DBLCreations op 13 november 2017

@veenbeest, daar ben je fout, Touch ID vereist enkel contact tussen de vingertop en de thuisknop, dit kan gemakkelijk door iemand anders gedaan worden terwijl de persoon in kwestie aan het slapen is. Je moet je telefoon dus zeker niet vasthouden.
Kan enige iPhone X-gebruiker me vertellen of het scenario beschreven door @veenbeest kan opgelost worden door je ogen bijvoorbeeld halfjes te sluiten, of je hoofd wat te draaien terwijl je je iPhone X probeert terug te graaien? Dankje!

T’Is te zeggen. Mijn verpleger die aan huis komt zat even rustig neer in de zetel en ik toonde hem mijn nieuwe iPhone X trots en gaf hem even aan hem door om hem te laten kijken enz… En ik wou hem ook even kennis laten maken met de nieuwe gestures dus iPhone moest un-locken. Hij draaide dus de telefoon naar mij en ik keek maar er gebeurde niets. Ik denk dat hij te snel ging, je moet de telefoon echt aandachtig bekijken. Je kan niet zomaar snel hey kijk eens en dan wegdraaien. Nee, zo snel gaat het niet.

Echter als ik mijn iPhone X in mijn hand heb en ik swipe omhoog, lijkt het als vanzelf te gaan. Uiteraard is het denk ik wel in de praktijk zo dat als je iemand zijn iPhone X uit zijn handen grist en hem laat kijken misschien evidenter gaat dan hem fysiek te dwingen zijn vinger op de touch id knop te zetten? Ik weet het niet. Ik heb het nooit meegemaakt en wil het ook niet meemaken.

Persoonlijk ben ik nog altijd heel erg tevreden over mijn iPhone X!

Profielfoto

HappyUser op 13 november 2017

Dus, als ik het goed begrijp;
Een dief die mijn iPhoneX steelt moet eerst een gezichtsmasker van MIJ maken. Vervolgens een haarscherpe foto van MIJN ogen en een kunstenaar in de arm nemen om MIJN neus te boetseren.
Dit allemaal met MIJN toestemming en medewerking!!!?
En als deze dief dit allemaal gedaan heeft kan hij met veel geluk mijn iPhoneX unlocken.

Profielfoto

xaddict op 13 november 2017

Of je typt gewoon 1234, 123456 of de geboortedatum van de persoon in kwestie in aangezien mensen idioten zijn met hun wachtwoorden

Profielfoto

DBLCreations op 13 november 2017

Of je typt gewoon 1234, 123456 of de geboortedatum van de persoon in kwestie in aangezien mensen idioten zijn met hun wachtwoorden

Ow, dan heb je bij mij toch dikke pech. En toch voel ik mij niet superieur tov anderen hoor…

Profielfoto

Cybertopian op 13 november 2017

Apple zou de opties van FaceID moeten uitbreiden met:

1) een keuze optie om de interval voor verplichte pincode te verkorten naar bijvoorbeeld 3 tot 6 uur.

Nu is de interval (meen ik) 48 uur, in theorie heeft een aanvaller dus 48 uur de tijd om een masker te produceren en de telefoon daarmee te proberen te foppen. Door dit te verlagen naar 3 of 6 uur is dit window of opportunity weer aanzienlijk lager. Ik zou het er voor over hebben om minstens 1x per 6 uur mijn pincode in te moeten voeren.

2) een keuze optie om faceID te kunnen combineren met een (korte, 4 digit) pincode. Hierdoor ontstaat een combinatie van must-have en must-know. Om te voorkomen dat je met FaceID niet meer kan inloggen zou er een backup moeten komen van een strong-pin (bv minimaal 8 digits or meer).

Beide opties zijn redelijk simpel in een upgrade toe te voegen en geven de gebruiker de keus om het beveiligingsniveau van de X aanzienlijk op te voeren. Maar ja, Apple houdt niet van keuzes voor de gebruiker… Daarbij: als je telefoon dermate gevoelig materiaal bevat dat je vatbaar zou kunnen zijn voor een FaceID attack dan zou je denk ik FaceID helemaal niet moeten gebruiken (en misschien het materiaal niet zomaar leesbaar op een iPhone moeten vervoeren).

Nee, nee, nee. Dit zijn natuurlijk oplossingen uit het verleden. Face ID zou gewoon uitgebreid kunnen worden met gezichtsuitdrukkingen. Om de x aantal uur (of na reboot) vraagt de iPhone gewoon om een of meerdere animoji na te doen en/of met je oog te knipperen, enz. Een masker dat dat kan maak je niet in 2 dagen.;-)

Maar waarom nu, als Face ID een verbetering is t.o.v. van Touch ID? Een alternatief langer wachtwoord ip.v. de 6 digits pin is allang mogelijk. En data op een iPhone is niet ‘zomaar’ leesbaar, zonder pincode of andere vorm van authenticatie kom je niet bij de data.

Profielfoto

KR1275 op 14 november 2017

Ik voorspel DNA ID in 2019.

Profielfoto

Sensas06 op 14 november 2017

Kan het ook allemaal gewoon uit?

Ik gebruik nu ook geen passcode, touch-id of ook maar iets dat het gebruik van mijn iPhone blokkeert en eerlijk gezegd wil ik dit ook helemaal niet …

Als hij gejat wordt wis/blokkeer ik hem wel met find my iPhone en voor de rest mag iedereen in mijn telefoon kijken, staat toch niks in wat geheim is.

Ik vindt het echt zo’n onzin allemaal, maar ja iedereen is panisch dat iemand ook maar in zijn mobieltje kan kijken…

Profielfoto

Odiebla op 14 november 2017

@Odiebla, fijne oplossingen, maar het doet me erg aan Android denken. Neem nu de laatste uitgaven van de Samsung Galaxy S- en Samsung Galaxy Note series, je hebt 3 verschillende biometrische authenticatiemogelijkheden als ik het goed heb, namelijk gezichtsherkenning, vingerafdrukherkenning en irisherkenning. Dit zijn 3 manieren, elk hebben ze hun voor- en nadelen volgens mij. Maar tijdens die geruchtenmolen van de iPhone X, werd het mij –na de claim van Ming Chi Kuo in het voorjaar over het feit dat Touch ID zou verdwijnen– al snel duidelijk. Waarom zou je in godsnaam ooit voor verschillende mogelijkheden kiezen i.p.v. één manier proberen te maken die zo hoog mogelijk scoort op alle criteria die je je maar kan bedenken?!

Ik zou zelf niet kiezen voor pincode + faceID… Maar ik zou er wel voor kiezen om faceID maximaal 6 uur geldig te laten zijn en dan om een pincode te vragen.

 


Je kunt alleen reageren met een gratis OMT account.
Heb je geen OMT account? Registreer je dan nu gratis!

Inloggen

 

of Wachtwoord resetten?