هکشدن فیس آیدی آیفون با استفاده از عینکی دستکاریشده
محققان باردیگر موفق شدند قفل سیستم بیومتریک فیس آیدی اپل را بشکنند؛ اما برای این کار قربانی باید بیهوش یا خواب باشد. براساس گزارش Threatpost، محققان تنسنت (Tencent) این اکسپلویت را در نشست Black Hat 2019 آمریکا ارائه دادهاند، این حمله با قراردادن عینک دست کاریشده روی صورت قربانی رخ میدهد. با چسباندن دقیق نوعی نوار روی شیشههای عینک، میتوان فیس آیدی را دور زد و به آیفون قربانی وارد شد. البته، اجرای چنین حملهای دشوار بهنظر میرسد؛ چراکه هکر باید بدون بیدارکردن قربانی، عینک را روی صورتش قرار دهد.
حملهی مذکور بر عملکردی بیومتریک بهنام «تشخیص هوشیاری» (Liveness Detection) تکیه میکند. این قابلیت برای تشخیص اجزای جعلی از واقعی صورت کاربر طراحی شده است و عوامل اضافه پسزمینه، اختلال در پاسخ و تاری فوکوس را کنترل میکند.
محقق تنسنت در ارائهی خود در نشست Black Hat چنین گفت:
با نشت دادههای بیومتریک و افزایش توان فریب هوش مصنوعی، قابلیت تشخیص هوشیاری به پاشنه آشیل سیستم احراز هویت بیومتریک تبدیل شده است؛ زیرا وظیفه دارد تشخیص دهد دادههای بیومتریک دریافتی، از سوی فرد معتبر و هوشیاری است که در آن زمان حضور دارد.
شاید این مسئله ذهنتان را درگیر کرده باشد که چرا برای اجرای این حمله، مهاجم به عینک نیاز دارد. جواب آن است که ظاهرا هنگامی که کاربر عینک گذاشته است، Face ID بهشیوهای متفاوت چشمها را اسکن میکند.
او درادامه اینگونه بیان میکند:
ما ضعفهایی در فیس آیدی یافتیم که به کاربر اجازه میدهد با گذاشتن عینک قفل گوشی را باز کند؛ زیرا در این حالت، فیس آیدی با تشخیص عینک اطلاعات سهبعدی را از ناحیهی چشم دریافت نمیکند.
محققان ازطریق این ترفند موفق شدند قفل گوشی یکی از قربانیان را باز کنند و موجودی حسابش را به حساب دیگری انتقال دهند. این اولینباری نیست که محققان فیس آیدی اپل را هک میکنند. در سال ۲۰۱۷ نیز یکی از شرکتهای امنیتی ویتنامی ویدیویی منتشر کرد که دورزدن تشخیص چهره آیفون X بهوسیلهی ماسکی ارزانقیمت را بهتصویر میکشید.
اپل پیشتر ادعا کرده بود که بخت بازکردن تصادفی قفل فیس آیدی یک در میلیون است؛ اما گزارشهایی وجود دارد که از بخت فراوان اعضای خانواده برای دورزدن تشخیص چهرهی آیفون حکایت میکنند. بههرحال، ادعای محققان تنسنت نشان میدهد حتی سیستم امنیتی اپل نیز نفوذپذیر است.
نظرات