Ya han creado una manera de engañar a Face ID… si eres MacGyve

Tenía que suceder. Basta con que Apple diga que Face ID es seguro para que hackers de todo tipo recojan el guante y afirmen, como Barney Stinson, challenge accepted! Ahora, un grupo procedente de Vietnam afirma haber burlado el sistema de autenticación facial del iPhone X con un método que Apple asegura que ya ha probado: una máscara del usuario registrado en Face ID.

Aunque, como veremos, no se trata de un procedimiento que sea precisamente de “andar por casa”.

Una máscara sacada de tus peores pesadillas

El grupo Bkav Corporation es el autor del video superior, una compañía vietnamita de seguridad informática. En él puede verse cómo una máscara es capaz de desbloquear un iPhone X y posteriormente al usuario a quien pertenece esa máscara. Se trata de una máscara de color blanco que parece ser un molde hecho de la cara del usuario al que le han colocado los dos ojos, nariz y boca.

El “hackeo” requiere una amplia variedad de recursos además de condicionantes concretos para funcionar

Tanto los ojos como la boca son fotografías impresas en 2D, que han pegado encima del molde blanco hecho con una impresora 3D. Para la nariz, contrataron a un artista que la hizo en silicona, de esto afirman lo siguiente:

Pedimos a un artista que la hiciera primero en silicona. Después, nos dimos cuenta de que la nariz no encajaba a la perfección con lo que necesitábamos, por lo que la arreglamos por nuestra cuenta para hacerlo funcionar. Por eso puede verse cómo la parte izquierda de la nariz es de diferente color.

De ahí que el aspecto final de la máscara sea de pesadilla. Según la compañía de seguridad, el proceso total ha costado 150 dólares y entre 5-6 días desde que recibieron su iPhone X. Aunque todo el proceso está plagado de asteriscos por todas partes y hace que nos hagamos numerosas preguntas.

Face ID y los gemelos malvados

Face ID Phil Schiller

Apple puso el listón muy alto cuando presentó Face ID y afirmó que era muy superior a Touch ID, gracias a una tasa de error de 1:1.000.000 en vez de 1:50.000. Sin embargo y como dijo la propia compañía, no es un sistema perfecto porque ante hermanos gemelos, familiares muy parecidos o menores de 13 años podía burlarse. Para estos casos, el usuario que no se fíe de su gemelo o hermano malvado pueden deshabilitar Face ID y utilizar una contraseña en un iPhone X.

El hackeo que han elaborado desde la compañía vietnamita tiene pinta de aprovechar este tipo de debilidad. Crear una máscara lo suficientemente parecida al sujeto principal como para que el sistema de autenticación facial acepte el rostro. Aunque no han explicado qué ha ocurrido detrás de las cámaras, creo que los tiros van por aquí.

Face Id Burlado

Face ID además cuenta con un sistema de aprendizaje automático que le permite aprenderse nuestro rostro para reconocerlo en diferentes situaciones. Con gafas o sin ellas, con gorro, sin afeitar, con maquillaje o poniendo caras. Conforme utilizamos el sistema, va perfeccionando las situaciones y márgenes de aceptación de nuestro rostro. Y si en algún momento tiene dudas, nos pide la contraseña.

Un usuario de iPhone X cuenta con 5 intentos para que Face ID reconozca su rostro antes de solicitarle el código de bloqueo

Cuando esto sucede y se introduce la contraseña correcta, Face ID toma nota y dice “¡Ah! Este también eres tú, no te había reconocido con ese gorro / gafas de sol / maquillaje / barba”. Esas pequeñas variaciones en una misma persona se van añadiendo al sistema de autenticación para permitir la entrada al iPhone X la próxima vez.

Es muy probable que los autores del video hayan entrenado al Face ID de su iPhone X para reconocer la máscara como si fuera el propio usuario. Que cuando éste haya rechazado la máscara, hayan introducido la contraseña para decirle “Eh, este tipo también soy yo”. Una vez tras otra, hasta que no hizo falta el código.

Un hackeo con demasiados asteriscos

Viendo tanto el video como las preguntas y respuestas que responden en su web, podemos elaborar una lista de los requerimientos necesarios para engañar a Face ID:

  • Una impresora de objetos 3D para la máscara blanca. No especifican el modelo pero podría costar entre 500 y 3.500 dólares.
  • Fotos de frente y en alta resolución para los ojos y boca, tampoco especifican la resolución necesaria.
  • Un artista para elaborar la nariz en silicona, con un coste de unos 150 dólares.
  • Una cámara capaz de grabar al sujeto de frente y en 3D. Ponen de ejemplo el smartphone Xperia XZ1.
  • En su defecto, contar con una sala preparada para la captura de imágenes en 3D.
  • Acceso al usuario para poder fotografiarlo en 3D.
  • Acceso físico al iPhone X.

Y lo más importante: tiempo. Necesitas disponer de todos estos elementos en el mismo momento y durante un tiempo prolongado. Tanto, que este hack es inviable llevarlo a la práctica sin que se dé cuenta el usuario o que el iPhone X acabe solicitando el código de bloqueo. Porque, recordemos, hay un número limitado de 5 intentos para reconocer un rostro como auténtico o no.

No es un hack fácil de reproducir para alguien sin los medios ni recursosnecesarios para conseguirlo. Desde luego, no es como imprimir una fotografía y colocarla en el sensor como ocurre con otros terminales.

Face ID sigue siendo igual de seguro

Cuando Apple presentó Touch ID, hubo muchos que pensaron que la compañía iba a provocar un aumento de secuestros y amputaciones de dedos para robar terminales. Cosa que no hace falta decir que no ha sucedido. Con Face ID se vuelve a repetir la historia, pero de momento no se han dado casos de decapitaciones.

El engaño presentado por la compañía de seguridad recuerda al que realizaron unos hackers alemanes con Touch ID. Uno que requería tener acceso físico tanto al terminal como a una huella válida del usuario, además de poder capturar esa huella con una resolución de 2.400 dpi, tratarla y trasladarla a un molde para su colocación en una lámina de látex. Súper sencillo también.

Otros hackers afirmaron haber engañado Touch ID, pero se trataba de nuevo de un proceso tremendamente complicado

Face ID sigue siendo un sistema de autenticación seguro. Siempre que tengamos en cuenta que todo el trabajo desarrollado por los hackers vietnamitas se queda fuera de lo razonable.

Vía  Applesfera

Loading Facebook Comments ...