"Wietnamczycy złamali Face ID z użyciem maski". Czy aby na pewno?

Za każdym razem, gdy ktoś twierdzi, że stworzył zabezpieczenie nie do złamania, pojawia się jakiś ekspert od bezpieczeństwa, który mówi: "przytrzymaj mi piwo". Nie inaczej było w przypadku Face ID, ale nie mam pewności, czy wyczyn pewnej wietnamskiej firmy wart był czasu poświęconego na trzymanie piwa.

Nagłówki o mniej więcej takiej treści wyrastają jak grzyby po deszczu praktycznie na całym świecie. Chodzi o zajmującą się bezpieczeństwem komputerowym firmę Bkav. Twierdzi ona, że udało jej się obejść zabezpieczenia iPhone'a X dzięki starannie przygotowanej maski. Całość uwieczniono na wideo.

Film rozchodzi się po sieci z prędkością światła. W ciągu 5 dni wygenerował ponad 900 000 wyświetleń, co jak na wietnamską firmę, której kanał obserwuje nieco ponad 4000 osób, jest niezłym wynikiem. Czy popularność filmu jest zasłużona? Mam co do tego wątpliwości.

Nie chcę rzucać bezpodstawnych oskarżeń, ale na filmie widać jedynie mężczyznę, który przykłada telefon do maski, po czym ten się odblokowuje. Czy to cokolwiek udowadnia? Moim zdaniem nie.

Wprawdzie w artykule na swojej stronie Bkav zarzeka się, że Face ID zostało skonfigurowane pod prawdziwą ludzką twarz, a następnie złamane przy użyciu starannie wykonanej maski. Dowodów na to jednak brak.

Warto ponadto zaznaczyć, że w ustawieniach Face ID domyślnie zaznaczona jest opcja "Face ID wymaga uwagi". To dodatkowe zabezpieczenie odpowiadające za śledzenie ruchu gałek ocznych; telefon odblokowuje się tylko wtedy, gdy użytkownik patrzy bezpośrednio w kamerę TrueDepth. Czy podczas próby z maską funkcja ta była aktywna? Nie wiadomo.

Jak więc widzicie, mam podstawy, by sądzić, że proces powstanie filmu wyglądał tak, że firma:[olist][]przygotowała maskę;[]skonfigurowała Face ID z użyciem maski;[]wyłączyła dodatkowe zabezpieczenie odplowiedzialne za śledzenie wzroku;[]odblokowała telefon wykorzystując maskę.[/olist]

Efekt? Międzynarodowy rozgłos.

Jak wspomniałem, nie chcę rzucać bezpodstawnych oskarżeń, ale nie rozumiem, dlaczego w przypadku innego scenariusza firma nie pokazałaby najpierw, że dodatkowe zabezpieczenia są aktywne, a telefon może odblokować jeden z pracowników.

Owszem, iPhone X w teorii w ogóle nie powinien uznać maski za ludzką twarz, ale dopóki komuś nie uda się w taki sposób naprawdę oszukać skanera, nie ma powodów do obaw.

Bkav to nie pierwsza firma, która próbuje obejść Face ID z użyciem masek. Serwis Wired we współpracy z ekspertami próbował oszukać telefon z użyciem całego arsenału masek stworzonych z użyciem różnych materiałów. Bezskutecznie.

Sam Apple już podczas prezentacji iPhone'a X podkreślił, że firma pracowała z fachowcami z Hollywoodu, aby upewnić się, że smartfon nie pomyli użytkownika z maską wiernie odwzorowującą jego twarz.

Cała sprawa przypomina mi popularne zabawy z czytnikami linii papilarnych. Niektóre telefony umożliwiają zeskanowanie ugryzionej parówki, a nastęnie odblkowanie urządzenia z jej użyciem.

Ciężko jednak uznać to za "łamanie zabezpieczeń" tak długo, jak skaner nie pomyli konkretnego palca z parówką. Podobnie jest w przypadku Face ID i masek.