Amint megjelent az Apple iPhone X-e, az amatőr hekkerek és a biztonsági szakemberek szinte azonnal rászálltak a beépített biometrikus azonosítójára. Érveltek pró és kontra, és persze hamarosan megjelentek olyan hírek is, hogy könnyen átverhető, és egyáltalán nem biztonságos.

Bár több sikeres törési kísérletről is jelentek meg hírek, eddig nem sikerült bizonyítani, hogy általánosan probléma lenne a Face ID megbízhatóságával.

Valóban átverhető?

Egy vietnámi alapítású biztonsági cég, a Bkav már az iPhone X forgalmazásának megkezdése után egy héttel azt állította, hogy egy 3D nyomtatóval gyártott maszk, valamint az arra ragasztott 2D-s nyomat segítségével – mindösszesen 200 dollár befektetésével – sikerült átverni a Face ID-t. Emiatt a cég a szélesebb körben, akár konzumer eszközökben is alkalmazott biometrikus azonosítások közül továbbra is az ujjlenyomattal történőt tartja a legbiztonságosabbnak. (A Face ID töréséről videót is készítettek, amit egy kattintásnyira lehet megnézni.)

Kétségtelenül vannak olyan arcfelismerési megoldások, melyek nem tekinthetők biztonságosnak. A Samsung például valóban egy olyan kezdetleges technológiát használt a Galaxy 8-ban, hogy még egy sima fotóval is át lehetett verni. Az Apple azonban komolyan vette ezt a fejlesztést, és azt állította, hogy míg a Tuch ID-nél 50 ezer azonosításra jut egy hibás, addig a Face ID esetében csupán 1 millióra.

Most nagyon úgy tűnik, az Apple állítása van közelebb az igazsághoz. Az Ant Financial (korábbi nevén Alipay) egyik biztonsági szakembere, aki a tavaszi Black Hat Asia konferencián a Face ID törését mutatta volna be, visszavonta előadását. Wish Wu azt bizonyította volna élő demóval, hogy fekete-fehér nyomatok segítségével is át lehet verni a Face ID-t. A szakember a Reutersnek azt nyilatkozta, hogy cége kérte meg előadása visszavonására. (Azóta Wu nevét és előadása absztraktját is törölték a konferencia honlapjáról.)

Vannak egyedi kísérletek, de nem lehet reprodukálni

Az olyan rangos konferenciákon, mint a Black Hat, ritkán fordul elő ilyen eset. A szervezők ugyanis alaposan ellenőriznek minden előadást, és igyekeznek meggyőződni arról, hogy az előadó valóban létező megoldással áll ki a színpadra. A konferencia szóvivője azt mondta, hogy a Wu által biztosított háttéranyagok alapján jutottak arra a döntésre, hogy a bemutatandó törés reprodukálható. (Az alábbi videóban látható néhány fotó arról, milyen módszerekkel is próbálkozhatott Wu.) A reprodukálhatóság bizonyította volna ugyanis, hogy a Face ID valóban nem alkalmas azonosításra, és hogy az Apple állítása a biztonságával kapcsolatban nem állja meg a helyét.
 

Minden eddigi Face ID-hekkel ez volt a probléma: például a vietnámiak kísérletét sem sikerült másnak megismételni. Wu is utalt erre a Reutersnek: mint mondta, csak bizonyos körülmények között járt sikerrel, ráadásul az eljárása az iPhone Xs és az Xs Max esetében nem is működött.

Ezzel együtt persze túlzás lenne azt álltani, hogy a Face ID-vel megvan a bölcsek köve – legalábbis az azonosítás terén. Az Ant Financial, amely a világ egyik legnagyobb fintech cége, is óvatosan nyilatkozott erről. Mint írták, az arcfelismeréssel történő azonosítás ellenőrzési mechanizmusának kutatása még kezdeti fázisában van, így félrevezető lenne, ha az eddigi részeredményeket bemutatnák. Persze az Ant óvatosságát más is magyarázza: fizetési rendszere támogatja az arcfelismerési technológiákat, így az Apple Face ID-jét is.