注意検出機能付きAppleのFace IDは200ドルのマスクに騙される

ベトナムのセキュリティ企業Bkavは、今月初めに150ドルのマスクでAppleのFace IDセキュリティシステムを騙したとされる事件を受けて、月曜日、iPhone Xの注意検出安全装置も回避できる2つ目の3Dプリントマスクで同じことを繰り返したと発表した。

Bkav は最初のビデオで、メイクで覆われた 3D プリントのフレーム、シリコン製の鼻、2D 画像、および「特別に処理された」大きな領域を使った Face ID 攻撃の概念実証を実演しました。

当時、懐疑論者はBkavの手法に疑問を呈した。特に、セキュリティ企業はFace IDの登録プロセスを記録していなかったため、Bkavはマスクをデバイスの主要ユーザーとして登録していた可能性がある。あるいは、Face IDは、連続したロック解除成功からシステムを「学習」させ、複数回のロック解除試行を通じて元のマスクを認証するように調整した可能性もある。これは、ユーザーの顔の自然な変化に対応するために設計された機能である。

しかし、Bkavの最新のビデオでは登録プロセス全体がカットなしで流れており、石粉から3Dプリントされ、目が2D赤外線画像で表現された新しいマスクが実際にFace IDの保護を回避したことを示唆している。

短い動画では、人間のユーザーがシステム設定で登録済みのFace IDプロファイルを消去し、新しいアカウントをリアルタイムで設定する様子が映し出されています。ユーザーは自分の顔で端末のロックを解除し、ロックをかけ、「人工双子」と呼ばれるマスクの前に慎重に置きます。Bkavの分身はiPhone Xのロック解除を一度ならず二度も成功させました。

さらに印象的なのは、Bkav が Face ID の注意検出機能を回避できたことだ。注意検出機能は、ロックを解除する前にユーザーの目を監視して携帯電話を見ているかどうかを確認するオプションの安全装置である。

Bkav氏は、その手順を詳しく説明したブログ記事の中で、一般ユーザーが容易に入手できる材料と道具を使って新しいマスクを製造するのに約200ドルかかると述べた。

「約2週間前、国家指導者、大企業のリーダー、億万長者など、非常に重要な人物のみがFace IDを使用する際に注意すべきだと推奨していました」と、Bkavのサイバーセキュリティ担当副社長、ゴ・トゥアン・アン氏は述べています。「しかし、今回の研究結果を受けて、一般ユーザー全員に対して重大度を引き上げざるを得ません。Face IDはビジネス取引に使用できるほど安全ではありません。」

同社によると、指紋ベースの生体認証システムは、Face IDなどの顔認証ソリューションよりも優れているという。指紋は写真とは異なり、遠距離から採取できないと同社は述べている。しかしながら、Bkavが2つ目のマスクを作成するためにどのようなデータを使用したかは不明である。従来、3Dプリントされたオブジェクトは、高精度のCADファイルまたは専用ソフトウェアによる3Dスキャンからレンダリングされている。

Bkav が 2D 写真から寸法データを推定できたかどうかは不明です。

Bkav氏の動画は、Face IDを破ろうとする一連の試みの最新のものだ。今月初めには、10歳の子供が母親のiPhone Xのロックを解除する動画が公開され、Face IDが互いによく似た家族を区別できないことがあるという証拠が示された。他にも、双子を対象とする非科学的なテストが行​​われ、そのうちの何人かは兄弟のデバイスのロックを解除できた。