Det går att lura iPhone X Face ID med en 3D-printad mask

Den här artikeln publicerades ursprungligen på Motherboard

Förra veckan meddelade forskare på vietnamesiska datasäkerthetsföretaget Bkav att de hade skapat en mask som kan lura iPhone X ansiktsigenkänningssystem Face ID. Masken består av en 3D-printad ram, med en silikonnäsa som man skulpterat för hand, plus ett par foton som placerades ovanpå masken.

Masken kostade bara 1250 kronor att tillverka, men det är nog ingen risk att privatpersoner börjar massproducera dem. För att tillverka en mask behövs det en avancerad scanner som ser till att alla ansiktsdrag blir helt rätt, samt ett proffs som kan fixa till näsan så pass bra att den lyckas lura programmet.

Forskarna på Bkav sa själva att det "var ännu enklare än vi trodde det skulle vara" att komma runt Face ID.

"Efter att ha hållit på att utveckla det i tio år är inte ansiktsigenkänning tillräckligt avancerat ännu för att garantera datorer och smartphones säkerhet," skrev forskarna. "Nu eftersom vår mask kunde lura Face ID behöver FBI, CIA, statsöverhuvuden, chefer på stora företag etc. känna till problemet, eftersom deras apparater kan vara värda att försöka göra olagliga intrång på. Det är svårt för normala användare att utnyttja det, men simpelt för de som är professionella."

Bkav menar att de är de första som lurat Face ID med hjälp av en mask, vilket är imponerande med tanke på hur mycket tid Apple lagt ner på att designa ansiktsigenkänningen för att försäkra sig om att det här inte ska hända. Varje gång Face ID används för att låsa upp en iPhone X skapas en topografisk karta baserat på en inskannad kopia av ens ansikte med 30 000 punkter. Ett neuronnät används sedan för att jämföra kopian med det ursprungliga inskannade ansiktet som användaren gav, för att avgöra om de matchar och på så sätt förebygga att tjänsten missbrukas.

Enligt Apple tränades neuronnätet bakom Face ID på över en miljard ansikten. Under en presentation förra september sa företaget att de under testfasen till och med tog hjälp av personal som jobbar med specialeffekter för att utforma masker med avsikten att försöka lura Face ID. I slutändan menade de att risken för att någon skulle lyckas låsa upp din iPhone X med sitt eget ansikte är ungefär en på en miljon – men det visar sig att om man har en enäggstvilling är det lätt att lura systemet.

Relaterat: En åktur i Googles senaste självkörande bil

För de flesta användare är det här hacket förmodligen inget man behöver vara orolig för – det är alldeles för tids- och energikrävande att göra en tillräckligt bra mask för att lura iPhone X, för att inte tala om det faktum att ens mobil även måste ha råkat hamna i fel händer. De som eventuellt har något att vara rädda för är offentliga personer, vars ansiktsdrag finns att se överallt i foton på internet, vilket gör det relativt lätt för en skicklig person att återskapa dem på en mask. Det känns inte heller långsökt att polismyndigheter kommer kunna använda liknande metoder för att enkelt kunna låsa upp en iPhone X.

Apple har aldrig hävdat att Face ID är 100 procent säkert. Men det faktum att Bkav kunde komma runt det bara en vecka efter mobilens lansering gör oss påminda om att biometrisk säkerhet har en lång väg kvar att gå.