Ответы на три главных вопроса о безопасности Face ID

Насколько хорошо новая система распознавания лиц защищает телефон от несанкционированного доступа и утечек.

12 сентября Apple представила iPhone X, который оснащён технологией Face ID. Она заносит в систему телефона отсканированное лицо владельца и использует в качестве пароля для разблокировки. Face ID похожа на технологию Touch ID, при помощи которой телефон разблокируется по отпечатку пальца.

«Это будущее разблокировки смартфонов и защиты конфиденциальной информации», — описали новую функцию в Apple. На основе иностранных материалов TJ сформулировал три главных вопроса к безопасности технологии.

Одна из самых распространенных уязвимостей систем распознавания лиц — возможность обойти её, поднеся к камере распечатанную фотографию владельца. Специалисты Apple утверждают, что они закрыли эту брешь в Face ID с помощью инфракрасной системы True Depth. Она проецирует на лицо пользователя сетку из 30 тысяч невидимых точек и создаёт трёхмерную модель.

На презентации Apple старший вице-президент по маркетингу Филипп Шиллер рассказал, что если мошенники попробуют изготовить копию лица на 3D-принтере, она, скорее всего, не сработает против Face ID. Он показал фотографию детальных масок, созданных голливудскими консультантами по спецэффектам, которые использовали в Apple для тестирования функции.

Шиллер, однако, не стал утверждать, что маски не справились с разблокировкой. Специалист по кибербезопасности Марк Роджерс, обошедший систему Touch ID (он снял с поверхности отпечатки, распечатал их и использовал для авторизации) предположил, что для обхода потребуется напечатать изображение владельца на 3D-принтере.

В прошлом схожий эксперимент получился у немецкой компании Security Research Labs относительно системы аутентификации Windows Hello. Но создание детальной копии лица при этом отнимает достаточно много времени и требует профессиональных навыков. С этим не справится мошенник без подготовки.

Можно также предположить, что Face ID умеет распознавать не только форму и вид лица, но и его цветовые особенности. Если это так, для обхода защиты злоумышленникам понадобится трёхмерная маска, повторяющая, как минимум, цвет кожи и глаз владельца. Это потребует ещё больше технических усилий.

По данным TechCrunch, на запуске iPhone X владельцы смогут добавить в Face ID лицо только одного человека. Это значит, что другим людям для доступа к телефону (даже друзьям и родственникам) потребуется пароль пользователя.

​Apple уже предупредила, что не будет сохранять никакие данные о лице владельца в «облако». Другими словами, эта информация будет храниться только на телефоне — как и с Touch ID. Подробнее об условиях безопасности можно прочитать в документе Apple.

Как отмечает The Verge, если в случае Face ID компания будет следовать этим правилам (они в том числе запрещают передавать данные о владельце без его разрешения или решения суда), то извлечь данные из телефона будет трудно. Тем не менее это не дает 100-процентной гарантии. Компания в любой момент может изменить условия пользования.

Несмотря на заявления Apple, правозащитники всё равно раскритиковали новую функцию, подозревая, что проверить факт передачи информации будет нельзя.

Как и Touch ID в прошлом, Face ID поднимает несколько вопросов о способах разблокировки. Если владельца телефона задержит полиция или захватят преступники, они не смогут угадать пароль — но смогут поднести айфон к лицу пользователя для обхода защиты. В США подозреваемый может воспользоваться Пятой поправкой и отказаться выдать пароль от телефона. Но на лицо это правило не распространяется.

Идеального варианта для решения подобных проблем пока нет, но можно просто отключить использование Face ID и защитить устройство стандартным паролем. Эта временная мера, но она по крайней мере не отобьёт желание вообще пользоваться iPhone X. Кроме этого представители Apple уже заявили, что система не разблокирует телефон, если пользователь посмотрит в камеру с закрытыми глазами.

В крайнем случае, Face ID можно оставить только для разблокировки телефона, а подтверждать покупки через Apple Pay или скачивание приложений — с помощью пароля (по умолчанию Face ID включена во всех трёх случаях).

Специалист по кибербезопасности Марк Роджерс отметил, если владелец решит использовать новую функцию, его данные станут менее защищены. Кого-то это может действительно пугать: тогда лучше подумать над отключением Face ID в пользу обычного пароля.

Однако пока нет никаких весомых поводов игнорировать новую технологию. Если трюк с созданием копии лица и сработает, то злоумышленникам всё равно потребуются силы и время — такой способ нельзя назвать лёгким. Смогут ли полицейские или хакеры получить данные владельца без его согласия благодаря Face ID, наверняка станет известно после поступления телефона в продажу.

#кибербезопасность #apple #iphonex