Para Hacker Akui Telah Jebol Face ID di iPhone X

0
36
Para Hacker Akui Telah Jebol Face ID di iPhone X
Para Hacker Akui Telah Jebol Face ID di iPhone X

Indolah.com – Para Hacker Akui Telah Jebol Face ID di iPhone X. Ketika Apple merilis iPhone X pada tanggal 3 November, ia segera meluncurkan sebuah perlombaan cepat di kalangan hacker di seluruh dunia untuk menjadi orang pertama yang menipu bentuk baru dari otentikasi baru futuristik.

Seminggu kemudian, peretas di sisi lain dunia mengklaim telah berhasil menduplikasi wajah seseorang untuk membuka kunci iPhone X-dengan teknik yang lebih sederhana daripada yang diyakini beberapa periset keamanan.

Pada hari Jumat, firma keamanan Vietnam Bkav merilis sebuah posting blog dan video yang menunjukkan bahwa – dengan semua penampilan – mereka memecahkan ID Wajah dengan topeng komposit plastik, silikon, makeup, dan potongan kertas sederhana, yang dikombinasikan menipu iPhone X untuk unlocking.

Demonstrasi tersebut, yang belum dikonfirmasi secara publik oleh periset keamanan lainnya, dapat menyodok lubang keamanan mahal iPhone X, terutama mengingat para periset mengatakan biaya topeng mereka hanya menghasilkan $ 150.

Tapi itu juga merupakan konsep bukti hacking yang, untuk saat ini, seharusnya tidak membahayakan pemilik iPhone rata-rata, mengingat waktu, tenaga, dan akses ke wajah seseorang yang dibutuhkan untuk menciptakannya kembali.

Bkav, sementara itu, tidak berbasa-basi dalam posting blog dan FAQ tentang penelitian ini. “Apple telah melakukan ini tidak begitu baik,” tulis perusahaan tersebut. “ID Wajah bisa dibodohi dengan topeng, yang berarti itu bukan tindakan pengamanan yang efektif.”

Dalam video yang diposkan ke YouTube, yang ditunjukkan di atas, salah satu staf perusahaan menarik selembar kain dari masker terpasang yang menghadap iPhone X di atas dudukannya, dan telepon langsung dibuka. Meskipun pemetaan inframerah 3-D yang canggih dari pemilik dan pemodelan AI-driven, para periset mengatakan bahwa mereka mampu mencapai spoofing dengan topeng yang relatif dasar: sedikit lebih dari hidung silikon terpahat, beberapa mata dan bibir dua dimensi. Dicetak di atas kertas, semua dipasang pada bingkai plastik berdimensi 3-D yang dibuat dari pemindaian digital wajah calon calon korban.

Para peneliti mengakui, bagaimanapun, bahwa teknik mereka akan memerlukan pengukuran rinci atau pemindaian digital dari wajah pemilik iPhone target. Para periset mengatakan bahwa mereka menggunakan pemindai genggam yang membutuhkan sekitar lima menit untuk memindai wajah subjek tes secara manual. Itu menempatkan metode spoofing mereka di ranah spionase yang sangat bertarget, dan bukan tipe run-of-the-mill yang paling mungkin dimiliki oleh pemilik iPhone X. 1

“Target potensial tidak boleh menjadi pengguna reguler, namun milyarder, pemimpin perusahaan besar, pemimpin negara, dan agen seperti FBI perlu memahami masalah ID Wajah,” para peneliti Bkav menulis. Mereka juga menyarankan agar versi teknik mereka di masa depan dapat dilakukan dengan pemindaian smartphone cepat wajah korban, atau bahkan model yang dibuat dari foto, namun tidak membuat prediksi tentang betapa mudahnya langkah selanjutnya untuk insinyur.

Selain tantangan untuk mendapatkan pemindaian wajah yang akurat, penyiapan sederhana para peneliti mengungguli teknik yang lebih mahal untuk dicoba tipuan ID Wajah-yaitu, yang telah kami coba WIRED awal bulan ini. Dengan bantuan seniman efek khusus, dan dengan biaya ribuan dolar, kami menciptakan masker penuh yang dipancarkan dari wajah seorang staf di lima bahan berbeda, mulai dari silikon hingga gelatin hingga vinil.

Meski ada detail seperti eyeholes yang dirancang untuk memungkinkan gerakan mata yang nyata, dan ribuan rambut alis yang dimasukkan ke dalam topeng dimaksudkan untuk terlihat lebih mirip rambut asli dengan sensor inframerah iPhone, tidak ada topeng kami yang bekerja.

Sebaliknya, periset Bkav mengatakan bahwa mereka mampu memecahkan ID Wajah dengan campuran bahan yang murah, pencetakan 3-D daripada lampu cetak dua dimensi, dan mungkin yang paling mengejutkan, tetap, dua dimensi. Para periset belum mengungkapkan banyak tentang proses mereka, atau pengujian yang membawa mereka ke teknik itu, yang mungkin menimbulkan skeptisisme.

Tapi mereka mengatakan bahwa sebagian didasarkan pada kesadaran bahwa sensor Face ID hanya memeriksa sebagian fitur wajah, yang sebelumnya dikemukakan WIRED dalam pengujian kami sendiri.

“Mekanisme pengakuan tidak seketat yang Anda pikirkan,” para peneliti Bkav menulis. “Kita hanya perlu setengah muka untuk menciptakan topeng, bahkan lebih sederhana dari yang kita bayangkan.”

Tanpa rincian lebih lanjut tentang prosesnya, banyak pekerjaan Bkav masih belum jelas. Perusahaan tersebut tidak menanggapi sebagian besar daftar panjang pertanyaan dari WIRED, dengan mengatakan bahwa pihaknya berencana untuk mengungkapkan lebih banyak dalam sebuah konferensi pers akhir pekan ini.

Yang paling menonjol di antara pertanyaan-pertanyaan tersebut, menunjukkan kepada peneliti keamanan Marc Rogers, bagaimana tepatnya telepon terdaftar dan dilatih tentang wajah sebenarnya pemiliknya.

Staf Bkav bisa berpotensi “melemahkan” model digital ponsel dengan melatihnya di wajah pemiliknya sementara beberapa fitur dikaburkan, saran Rogers, yang pada dasarnya mengajarkan telepon untuk mengenali wajah yang lebih mirip topeng mereka, daripada membuat topeng yang benar-benar Sepertinya wajah pemiliknya.

“Untuk saat ini saya tidak dapat mengesampingkan bahwa orang-orang ini mungkin menipu kita sedikit,” kata Rogers, seorang peneliti untuk firma keamanan Cloudflare, yang bekerja dengan WIRED pada usaha awal kami untuk memecahkan ID Wajah, dan juga salah satu dari pertama untuk memecahkan pembaca sidik jari Touch Touch Apple di tahun 2013.

Tapi menanggapi pertanyaan dari WIRED, Bkav membantah tipuan semacam itu. Seorang juru bicara perusahaan mengatakan bahwa setelah membuat masker yang bisa menipu ID Wajah-pertama kali dibuat empat lainnya yang gagal-para periset mendaftarkan ulang tes X X pada wajah staf Bkav, untuk memastikan bahwa hal itu tidak bias. model telepon wajahnya. Setelah itu, mereka tidak pernah memasukkan kode akses ke telepon, namun masker itu sendiri tidak membukanya

Sejarah Bkav juga memberi banyak kepercayaan pada demonstrasi. Hampir satu dekade yang lalu, periset perusahaan tersebut menemukan bahwa mereka dapat mematahkan pengakuan wajah para pembuat laptop termasuk Lenovo, Toshiba, dan Asus, yang tidak lebih dari gambar dua dimensi dari wajah pengguna. Mereka mempresentasikan temuan yang dikutip secara luas di konferensi keamanan Black Hat 2009.

Jika temuan Bkav melakukan pengecekan, Rogers mengatakan bahwa hasil penelitian perusahaan yang paling tidak terduga adalah bahkan tetap, mata cetak mampu menipu ID Wajah. Paten Apple telah menyebabkan Rogers percaya bahwa Face ID mencari gerakan mata, katanya. Tanpa itu, ID Wajah akan tertinggal rentan tidak hanya untuk spoof topeng yang lebih sederhana, tapi juga serangan yang bisa membuka iPhone X bahkan jika pemiliknya tidur, menahan, atau berpotensi mati.

Situasi terakhir ini sangat mengkhawatirkan, karena secara teoretis akan menjadi masalah bagi ID Wajah yang bahkan ID Touch pun tidak hadir, mengingat pemeriksaan terakhir untuk mendapatkan konduktivitas jari orang hidup sebelum membuka kunci. “Itu berarti ini bisa ditipu tanpa tes liveness sama sekali,” kata Rogers. “Saya akan mengatakan jika semua ini dikonfirmasi, itu berarti ID Wajah kurang aman daripada Touch ID.”

Ini juga tidak jelas apakah Face ID menggunakan metode di luar pergerakan mata untuk menunjukkan bahwa seseorang masih hidup. (Sedikitnya satu peneliti menunjukkan bahwa Touch ID juga bekerja pada mayat: Laboratorium SR ‘Ben Schlabs mengirim WIRED sebuah video untuk membuka SE iPhone dengan sidik jari palsu berbahan dasar yang tidak hidup.) 2

Meskipun ada potensi ancaman mengintip iPhone X yang tertidur, diculik, atau mati, Rogers mempertimbangkan anggapan bahwa seseorang akan membuat topeng silikon dan plastik dari wajah rata-rata orang itu tidak masuk akal. Perhatian yang jauh lebih praktis adalah seseorang yang hanya menipu korban untuk melirik telepon mereka.

“Ini masih bukan jenis serangan yang harus dipikirkan orang rata-rata di jalan,” kata Rogers tentang pekerjaan Bkav. “Masih mungkin lebih mudah untuk merebut telepon dan hanya menunjukkannya kepada seseorang untuk membukanya.”

(Visited 18 times, 1 visits today)