Face ID van iPhone omzeilen? Bril en tape maken het deels mogelijk

Door: Raymon Mens - 7 reacties
Afbeelding: ImageBroker

Face ID van de iPhone staat bekend als bijna onfeilbaar. Apple noemt de gezichtsscanner duizend keer veiliger dan vingerafdrukscanner Touch ID. Toch is het systeem deels voor de gek te houden. Wat heb je nodig? Een simpele bril, zwarte tape, een wit vel papier en wat lijm.

Tijdens BlackHat 2019, een conferentie waar veel beveiligings­experts bij elkaar komen, hebben Chinese onderzoekers van Tencent een manier gepresenteerd om Face ID van de iPhone voor de gek te houden. De gezichtsscanner is niet helemaal gekraakt, maar wel deels.

Aandachtsdetectie iPhone niet opgewassen tegen bril, tape en papier

Normaal vereist Face ID dat iemand zijn ogen open heeft en naar zijn iPhone kijkt. Deze functie heet ‘aandachtsdetectie’ en zorgt ervoor dat iemand niet terwijl je slaapt je iPhone voor je gezicht kan houden. Het toestel zal dan weigeren te ontgrendelen. De onderzoekers van Tencent wisten het echter toch voor elkaar te krijgen om de aandachtsdetectie van Face ID voor de gek te houden. Het werkt zowel bij de iPhone X als de nieuwste iPhone XS.

Ze ontdekten dat gezichtsherkenning anders werkt wanneer iemand een bril draagt. Het is dan niet mogelijk om diepte-informatie van het gebied rondom de ogen op te halen. De iPhone zoekt dan gewoon naar de aanwezigheid van een pupil. De telefoon zoekt naar een zwart gebied (de pupil) en een witte punt (de iris). Door bij een persoon een bril op te zetten en deze te beplakken met een stukje zwarte tape en een wit stukje papier, denkt Face ID dat een oog aanwezig is. Als de rest van het gezicht ook matcht met het opgeslagen gezicht, zal het toestel zonder dat aandachtsdetectie nodig is worden ontgrendeld.

Face ID bril iPhone
Klik/tap voor groter. Afbeelding: Lindsey O'Donnell/Threatpost

Face ID is nog altijd veiliger dan Touch ID

Hoewel dit een vindingrijke ontdekking is, wil het niet zeggen dat Face ID enorm veel onveiliger is geworden. De gezichtsscanner in de nieuwe iPhone is nog altijd veiliger dan Touch ID. Het is immers veel meer moeite om iemand in zijn slaap een bril op te zetten, dan om een home-knop tegen zijn vinger te houden.

Reacties

7 reacties
  • Profielfoto
    pruus

    Nee hoor, allemaal verzinsels. Apple heeft erover nagedacht en gemaakt, en dan het alleen maar goed zijn, toch?

  • Profielfoto
    iDeMi

    Creatief en heel goed gevonden. Wat ik niet uit het  artikel haal (waar naar verwezen wordt) is of er een verschil is bij het uitvoeren van deze hack tussen het Face ID profiel van een persoon met bril en zonder bril.

  • Profielfoto
    Facundo

     De gezichtsscanner in de nieuwe iPhone is nog altijd veiliger dan Touch ID. Het is immers veel meer moeite om iemand in zijn slaap een bril op te zetten, dan om een home-knop tegen zijn vinger te houden.

    Ja, dat is Ă©Ă©n situatie uit honderden. Ligt iemand dood met de ogen open en ’t maakt al niet meer uit. FaceID en TouchID zijn voor het gemak, niet voor extra veiligheid. Het is niet voor niets dat er regelmatig nog om je code wordt gevraagd. FaceID is ook niet veiliger als TouchID. Het is geen irisscan (en zelfs al was het dat).

  • Profielfoto
    Elduderino

    Facundo op 9 augustus 2019 15:36

     De gezichtsscanner in de nieuwe iPhone is nog altijd veiliger dan Touch ID. Het is immers veel meer moeite om iemand in zijn slaap een bril op te zetten, dan om een home-knop tegen zijn vinger te houden.

    Ja, dat is één situatie uit honderden. Ligt iemand dood met de ogen open en ’t maakt al niet meer uit. FaceID en TouchID zijn voor het gemak, niet voor extra veiligheid. Het is niet voor niets dat er regelmatig nog om je code wordt gevraagd. FaceID is ook niet veiliger als TouchID. Het is geen irisscan (en zelfs al was het dat).

    FaceID en TouchID zijn inderdaad voor het gemak en daardoor misschien wel voor velen veiligheid verhogend. Men gebruikt het eerder dan een code. Hoeveel mensen gebruikten wel geen code of een heel simpele.

    De good old code is ook zwaar overschat. Dat er af en toe om gevraagd wordt is gewoon een extra vorm van authenticatie, maar bepaald niet veiliger. Codes zouden ze heel snel af moeten schaffen.

  • Profielfoto
    csteelooper

    Elduderino op 9 augustus 2019 17:45

    Facundo op 9 augustus 2019 15:36

     De gezichtsscanner in de nieuwe iPhone is nog altijd veiliger dan Touch ID. Het is immers veel meer moeite om iemand in zijn slaap een bril op te zetten, dan om een home-knop tegen zijn vinger te houden.

    Ja, dat is één situatie uit honderden. Ligt iemand dood met de ogen open en ’t maakt al niet meer uit. FaceID en TouchID zijn voor het gemak, niet voor extra veiligheid. Het is niet voor niets dat er regelmatig nog om je code wordt gevraagd. FaceID is ook niet veiliger als TouchID. Het is geen irisscan (en zelfs al was het dat).

    FaceID en TouchID zijn inderdaad voor het gemak en daardoor misschien wel voor velen veiligheid verhogend. Men gebruikt het eerder dan een code. Hoeveel mensen gebruikten wel geen code of een heel simpele.

    De good old code is ook zwaar overschat. Dat er af en toe om gevraagd wordt is gewoon een extra vorm van authenticatie, maar bepaald niet veiliger. Codes zouden ze heel snel af moeten schaffen.

    En hoe moet het dan wel? Face ID en Touch ID zijn veilig in combinatie met de code. Mede omdat veel mensen nu eerder geneigd zijn een lange code te gebruiken. Maar NÍETS is 100% veilig. Ik heb Face ID actief op m’n iPad Pro. Het is op dit moment verreweg de meest veilige gezichtsscanner die er voor consumenten is; zeker nu Samsung de irisscanner uit haar producten heeft gehaald.

    Maar dat neemt niet weg dat ook Face ID natuurlijk niet 100% veilig is. Absolute veiligheid is er nooit geweest en met de online maatschappij raken we er eerder verder van weg dan dat we er dichter bij komen.

    Net als met privacy, dat tegenwoordig al een net zo groot non-begrip begint te worden. Europeanen mogen dan beschermd zijn door de GDPR (NL: AVG), maar dat neemt voor grote partijen zoals Facebook en ook voor andere kwaadwillenden echt de mogelijkheden niet weg om met jouw gegevens aan de haal te gaan.

    De beste vorm van online privacy is dan ook het niet plaatsen van gegevens waar je niet van wilt dat derden er bij kunnen…

  • Profielfoto
    xaddict

    @Facundo: Volgens Apple is Face ID wel degelijk veiliger dan Touch ID. En onderzoekers die het systeem hebben geprobeerd te omzeilen kwamen tot dezelfde conclusie.

  • Profielfoto
    Willumpie

    Face iD ontgrendeld mijn telefoon met een pet en zonnebril op, terwijl ik hem zonder die attributen heb ingesteld. Hoe kan dat…?