Especialistas da Tencent demonstraram ataque contra o sistema de segurança da Apple.
Por Altieres Rohr
Postado em 12 de 2019 às 22h45m
Postado em 12 de 2019 às 22h45m
Especialistas da chinesa Tencent demonstraram que é possível burlar o FaceID, o sistema de reconhecimento facial usado no iPhone, usando óculos e fita adesiva se a vítima estiver dormindo ou inconsciente.
Eles descobriram que, quando o FaceID analisa uma pessoa que está usando óculos, a tecnologia apenas procura por um ponto branco onde estaria o olho, não sendo necessário criar uma réplica do olho da vítima: os óculos têm potencial para funcionar em qualquer pessoa quando colocados sobre a face da vítima, permitindo que o FaceID a reconheça de olhos fechados.
A pesquisa foi conduzida por três especialistas do Tencent Security Xuanwu Lab que se identificaram como Yu Chen, Bin Ma e HC Ma. Eles apresentaram a técnica em uma palestra na conferência de segurança Black Hat, em Las Vegas.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/X/J/Ol3x98S3uiIHWeQLaHRQ/xglasses.jpg "Protótipo de óculos criado por especialistas da Tencent. Ponto branco no centro, formado por fitas adesivas pretas e brancas, engana o FaceID. — Foto: Tencent")
Tecnologias de autenticação biométricos — que reconhecem a pessoa pela voz, rosto ou impressão digital — devem verificar se a pessoa está consciente para que a trava de segurança digital não coloque em risco a segurança física do indivíduo. Isso é normalmente um desafio para esses sistemas, principalmente quando é necessário equilibrar a segurança com a conveniência de uso.
No caso do FaceID, é a compatibilidade com óculos que permite o ataque. Segundo o trio da Tencent, quando FaceID detecta um par de óculos, o reconhecimento do olho é substituído pela busca por um ponto branco onde o sistema acredita que o olho estaria.
O reconhecimento facial do FaceID é feito em 3D. Para detectar o olho em um rosto com óculos, ele passa a aceitar um sinal em apenas duas dimensões. A situação se agrava ainda mais em um ambiente escuro.
Apesar de funcional e simples, o ataque necessita que o invasor tenha acesso ao iPhone da vítima e à própria vítima, que precisaria estar dormindo ou inconsciente enquanto os óculos são colocados na face.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/4/2/UkmMKiSLaa5DM1SD8BAw/olhosescuro.jpg "Pesquisadores explicam por que um ponto branco funciona como 'olho' no reconhecimento facial. — Foto: Tencent")
Procurada, a Apple não se manifestou até a publicação da reportagem.
O FaceID é considerado o melhor sistema de reconhecimento facial em celulares. Em aparelhos Android, a preferência é pelo reconhecimento de digital. Embora diversos aparelhos Android ofereçam a opção de reconhecimento facial, essa opção às vezes não é recomendada nem pelo fabricante.
Desde o iOS 11, o iPhone inclui um recurso de SOS de emergência que pode ser ativado segurando o botão lateral e um dos botões de volume. Essa função desativa o FaceID ou o TouchID, exigindo o uso da senha para o próximo desbloqueio, sendo ideal para situações em que o usuário corre risco de coação ou de ter seu rosto ou digital usado sem permissão para realizar o desbloqueio. O Android 9 introduziu uma tecnologia semelhante chamada "Bloqueio Total".
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2018/b/A/zLi8TSQha3DFu9kfIOeg/altieres-rohr.png "Selo Altieres Rohr — Foto: Ilustração: G1")
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/9/l/qZ7MT6Q0WlGcyoOofXBA/tumblr-reuters-thomas-white.jpg "Verizon, que é dona do Tumblr, irá vender a rede social para a Automattic, dona do Wordpress. — Foto: Thomas White/Reuters")