Nieuw masker is Face ID sneller de baas

18 reacties

Enkele weken geleden kon je lezen dat gezichtsscanner Face ID van de iPhone X werd omzeild met een masker. Het vereiste wel dagen werk en was geen kwestie van snel je gezicht en het masker scannen. Daar komt nu echter verandering in.

Het Vietnamese beveiligingsbedrijf Bkav, dat ook het eerste masker maakte, laat weer van zich horen. Er is een nieuw masker gemaakt dat de gezichtsscanner van de nieuwe iPhone binnen no-time kan foppen.

Verbeterd masker

Bkav werkte vijf dagen aan het vorige masker en het kostte 9 uur om de iPhone het nagemaakte gezicht te laten herkennen. Het nieuwe masker is veel sneller te maken en wordt meteen door de iPhone herkend. Helaas zegt het bedrijf niet hoe snel het nieuwe masker gemaakt kan worden. Er zijn wel details over de samenstelling van het nagemaakte gezicht.

Het gaat wederom om een 3D-geprint masker dat voor ongeveer 200 dollar vervaardigd is. In plaats van een aparte neus van siliconen, is het hele masker bedekt met steenpoeder. De foto’s van de ogen zijn nu gedetailleerde infraroodfoto’s.

Meteen ontgrendeld

In bovenstaande video is te zien dat de onderzoeker zijn gezicht opnieuw registreert voor Face ID. Daarna kan het masker de iPhone ook vrijwel meteen ontgrendelen. De vraag blijft hoe gemakkelijk het is om een masker aan de hand van foto’s te maken. Bkav installeerde een speciaal camerasysteem dat het gezicht van de onderzoeker binnen enkele seconden vanuit verschillende hoeken vastlegde. Vervolgens werden de foto’s verwerkt door een algoritme tot 3D-object gevormd.

Het beveiligingsbedrijf noemt het nieuwe masker “de kunstmatige tweeling” en speelt daarmee in op een eerdere uitspraak van Apple. Tijdens de onthulling van de iPhone X zei Phil Schiller namelijk dat Face ID niet altijd onderscheid kan maken tussen tweelingen die erg op elkaar lijken.

Klik/tap voor groter.

Bkav concludeert dat Face ID onveiliger is dan Touch ID, maar daar kunnen we ons niet achter scharen. Met de foto van een vinger was het namelijk ook al mogelijk was om Touch ID te misleiden. (Zie → Touch ID-hackers hebben genoeg aan een foto van je vinger)

Reacties

18 reacties
  • Profielfoto
    DBLCreations

    Was het met een foto mogelijk om touch id te misleiden? Dat wist ik eigenlijk niet om eerlijk te zijn! Maar goed, ik ben eigenlijk wel tevreden over Face ID, tot nog toe is er nog niemand in mijn iPhone kunnen gaan zonder mijn toestemming, voor mij is dat goed genoeg.

  • Profielfoto
    Nick Seamore

    Dus nog steeds veel te veel moeite voor een gemiddelde junk om dit te doen en überhaupt te kunnen. Stelt me weer gerust.

  • Profielfoto
    DBLCreations

    Dus nog steeds veel te veel moeite voor een gemiddelde junk om dit te doen en überhaupt te kunnen. Stelt me weer gerust.

    Ja, en blijkbaar moet je toch ook nog steeds wat details hebben van de persoon in wiens iPhone je wilt inbreken hé:

    “De foto’s van de ogen zijn nu gedetailleerde infraroodfoto’s.”

  • Profielfoto
    Ome Kor

    Ze laten helaas niet zien hoe het masker is gemaakt. Hebben ze van zijn gezicht eerst een 3d-scan gemaakt? Lijkt me lastig in de praktijk. Of aan de hand van foto’s?

  • Profielfoto
    DBLCreations

    Ze laten helaas niet zien hoe het masker is gemaakt. Hebben ze van zijn gezicht eerst een 3d-scan gemaakt? Lijkt me lastig in de praktijk. Of aan de hand van foto’s?

    Voor zover ik begrijp is het masker zelf 3D geprint en verder aan de hand van foto’s en het masker met wit steenpoeder bewerkt?

  • Profielfoto
    Ome Kor

    Dat het 3D geprint is, dat is me duidelijk maar hoe hebben ze de “bouwtekening” voor de 3D printer gemaakt? Met een CAD programma een 2D foto omgezet naar 3D? of een 3D scan van zijn gezicht gemaakt? Een artiest een masker laten maken en die ingescand?

    Als je dat weet, dan kun je het risico en de waarschijnlijkheid bepalen.

  • Profielfoto
    DBLCreations

    Dat het 3D geprint is, dat is me duidelijk maar hoe hebben ze de “bouwtekening” voor de 3D printer gemaakt? Met een CAD programma een 2D foto omgezet naar 3D? of een 3D scan van zijn gezicht gemaakt? Een artiest een masker laten maken en die ingescand?

    Ik denk het 2de. een 3D scan van zijn gezicht gemaakt, ik dacht dat dat de eerste keer ook zo gebeurd was? Alleen de ogen zijn nu gefotografeerd met dat gedetailleerder infrarood. Wel knap vindt ik, maar daar ben je sowieso toch lang aan bezig? Natuurlijk, als je iemand belangrijk zijn telefoon zou stelen zal je daar wel het nodige voor over hebben veronderstel ik. Ik persoonlijk hou me daar niet mee bezig natuurlijk:p

  • Profielfoto
    Barika Cala Saidah

    @DBLCreations, voor mij zet dit onderzoek de ongeziene veiligheid van Face ID in de verf. Die malloten beweren dat Face ID minder veilig is dan Touch ID, je zou toch denken dat ze zelf hebben ondervonden dat dit helemaal omgekeerd is?!? Enfin, ik kan me niet voorstellen dat men binnen de 48 uur tijd zoiets kan maken.

  • Profielfoto
    DBLCreations

    @DBLCreations, voor mij zet dit onderzoek de ongeziene veiligheid van Face ID in de verf. Die malloten beweren dat Face ID minder veilig is dan Touch ID, je zou toch denken dat ze zelf hebben ondervonden dat dit helemaal omgekeerd is?!? Enfin, ik kan me niet voorstellen dat men binnen de 48 uur tijd zoiets kan maken.

    Daar ben ik het zeker mee eens! Ik denk ook net dat dit de kracht laat zien van Face ID en niet de zwakte. Daarom dat ik denk dat je al iemand beroemd of zo moet zijn eer ze je iPhone al zouden willen stelen. Dan moeten ze al deze moeite doen om aan je bestanden te komen, maar ze moeten dus ook een perfect gedetailleerd infrarood beeld van je ogen hebben? Ik wens ze allemaal alvast veel succes:-)

  • Profielfoto
    Shmoo

    Zouden ze dit soort dingen niet ook testen in het lab bij Apple?

    Ik vind het wel verbazend dat Apple staat te blaten over 1 op miljoen blabla, een hoop marketing praat en dan komt er een of ander suf bedrijfje dat waarschijnlijk jaarlijks nog geen omzet heeft dat Apple in een uurtje of twee omzet die gewoon iets bouwt in in elkaar friemelt dat de scanner kan foppen. Twee weken laten en hij heeft zijn product al beter uitgewerkt en geef hem waarschijnlijk nog een maand of 6 weken en hij heeft een geweldig product.

    Wat je daar ook van kunt vinden zoiets is gewoon fundamenteel fout als zoiets kan gebeuren.

  • Profielfoto
    Geert1976

    ben er achter gekomen dat een inbreker mijn huis kan binnenkomen, ondanks camera’s,high tech sloten, een alarm systeem en een waakhond.

    Heb besloten om ook maar meteen te gaan verhuizen naar een huis wat nog beter beveiligd is.

  • Profielfoto
    spacefreek

    Leuk allemaal hoor, maar zo’n masker maken is al snel duurder dan een hele nieuwe telefoon aanschaffen, en is dus totaal niet relevant voor de gemiddelde zakkenroller (nog los van het feit dat ‘ie detailfoto’s/scans van z’n slachtoffer moet hebben).

    Het wordt de FBI wel iets makkelijker gemaakt zo, maar daar kan ik me eerlijk gezegd niet zo druk om maken… Celebs waarvan hun gestolen telefoons in Madame Tussauds worden unlocked kunnen ter plekke opgepakt worden:grin:

    @Shmoo, Apple blaat niet over 1 op 1.000.000, dat doe jij. Die statistiek heeft helemaal niks met dit bericht te maken. De 1 op 1.000.000 gaat over personen die op basis van puur toeval jouw telefoon zouden kunnen unlocken met hun gezicht, da’s iets heel anders dan een gezicht na proberen te maken (en m.i. veel relevanter om de veiligheid van zo’n systeem te beoordelen).

  • Profielfoto
    polansky

    De vingerafdrukscanner was zo slecht nog niet….

    Altijd weer lachen hoe de ‘echte’ apple fans hun befaamde merk lopen te verdedigen, terwijl ze het hardste lachen als dit gebeurt bij Samsung of Microsoft. Dit heet gewoon koekje van eigen deeg.

    En ik denk dat er heel wat beveiligingsbedrijven en overheidsinstanties interesse hebben hoe deze meneer dit heeft geflikt. Toch handiger om zo een telefoon binnen te komen voor de opsporingsinstanties…

  • Profielfoto
    iMad

    De vingerafdrukscanner was zo slecht nog niet….

    Altijd weer lachen hoe de ‘echte’ apple fans hun befaamde merk lopen te verdedigen, terwijl ze het hardste lachen als dit gebeurt bij Samsung of Microsoft. Dit heet gewoon koekje van eigen deeg.

    En ik denk dat er heel wat beveiligingsbedrijven en overheidsinstanties interesse hebben hoe deze meneer dit heeft geflikt. Toch handiger om zo een telefoon binnen te komen voor de opsporingsinstanties…

    Dat noemen we nu menselijk gedrag en dat werkt ook bij Samsung fan’s en Windows fan’s en wat voor fan’s dan ook.

  • Profielfoto
    DBLCreations

    Altijd weer lachen hoe de ‘echte’ apple fans hun befaamde merk lopen te verdedigen, terwijl ze het hardste lachen als dit gebeurt bij Samsung of Microsoft. Dit heet gewoon koekje van eigen deeg.

    Daar ging het om een simpele foto waarmee je de camera kon om de tuin leiden, dit is al geen simpele foto niet meer wat die mensen van dit bedrijf doen, maar laat ons vooral verder lachen…

  • Profielfoto
    Elduderino

    Zouden ze dit soort dingen niet ook testen in het lab bij Apple?

    Ik vind het wel verbazend dat Apple staat te blaten over 1 op miljoen blabla, een hoop marketing praat en dan komt er een of ander suf bedrijfje dat waarschijnlijk jaarlijks nog geen omzet heeft dat Apple in een uurtje of twee omzet die gewoon iets bouwt in in elkaar friemelt dat de scanner kan foppen. Twee weken laten en hij heeft zijn product al beter uitgewerkt en geef hem waarschijnlijk nog een maand of 6 weken en hij heeft een geweldig product.

    Wat je daar ook van kunt vinden zoiets is gewoon fundamenteel fout als zoiets kan gebeuren.

    Jij leest zeer selectief, er staat nergens een uurtje of 2 in elkaar frommelen. Daarnaast heb je hier ook nog zeer specifieke apparatuur en materialen voor nodig.
    Het is geen klus die even makkelijk gedaan is. Hoe maakt men het masker, moet men daarvoor eerst een 3D scan van de persoon nodig. (Ik zie al een dief voor je staan, te vragen om een 3D scan)
    Zoiets kan gebeuren, als je een beetje logisch nadenkt is alles wat fysueel is, te foppen. Maar dat zegt niet dat het makkelijk is.
    Een vinger afdruk is ook te foppen, een pin code kraken is ook niet moeilijk. Dus de absolute zekerheid die jij verwacht is er gewoon niet.
    Vraag is of het voor gebruikers als ons bruikbaar is, ja zeker wel.
    Hoeveel pogingen heeft men gedaan voordat het werkt? Je kan namelijk niet onbeperkt ‘ proberen’ tot de volgende beveiliging wordt geactiveerd.

    Je stelt het in je reactie wel heel simpel. Praktijk laat zien dat er wel wat meer voor nodig is.
    Welke situatie zou dit in het dagelijkse leven bruikbaar zijn? Men heeft fysiek toegang nodig, een scan van je gezicht nodig, men moet hopen dat jij je telefoon op afstand niet uitschakeld, dan moet de scan binnen een paar keer goed zijn en moet het masker in een korte periode gemaakt worden. (Gezien je anders een pin in moet voeren).

    Het zou wel kwalijk zijn dat men Face-ID kan foppen zoals bij Samsung, met een andere telefoon of een foto. De drempel ligt hier echter heel wat hoger.

  • Profielfoto
    Elduderino

    De vingerafdrukscanner was zo slecht nog niet….

    Want? Volgens mij is dit vele malen moeilijker. Hier heb je wel heel specialistisch materiaal voor nodig.

  • Profielfoto
    lordoftheflatbush

    Die Chinezen lijken so wie so allemaal op elkaar