Author: Le news di Hardware Upgrade
Secondo la società di sicurezza Bkav è possibile aggirare Face ID grazie all’uso di una maschera da 150 dollari realizzata ad-hoc per ogni utente. Per chi non lo sapesse Face ID è l’unico sistema di autenticazione di iPhone X, e andrà presto a sostituire lo sblocco via impronta digitale su tutti gli iPhone. Se fosse davvero così semplice aggirarlo sarebbe un enorme problema di sicurezza, ma la verità è che si tratta di un sistema difficile da applicare.
Nel 2009 Bkav aveva mostrato una tecnica per superare l’autenticazione facciale sui portatili Toshiba e Lenovo, e a distanza di parecchi anni ritorna sull’argomento grazie al nuovo melafonino. La compagnia ha anche rilasciato un video in cui è possibile vedere “l’hack” in azione, con l’iPhone X che lascia libero l’accesso ai suoi dati una volta posizionata la maschera di fronte ai sensori dello smartphone. Il problema è costruirla senza disporre delle informazioni necessarie.
“È piuttosto difficile realizzare la maschera corretta senza avere una certa competenza nel campo della sicurezza”, ha dichiarato uno dei responsabili della società ad Ars Technica. “Siamo stati capaci di superare l’IA di Apple perché conosciamo come funziona e sappiamo come aggirarla”. La maschera che vediamo nel video è stata ottenuta utilizzando delle scansioni 2D e 3D, a cui poi è stata aggiunta un’appendice in silicone, il naso, modellata a mano.
In seguito alla richiesta di ulteriori informazioni da parte della stampa americana sulla metodologia fraudolenta di sblocco, Bkav ha promesso una conferenza stampa per il 15 novembre in modo da offrire i dettagli richiesti. La compagnia ha anche rilasciato una sezione Q&A sul sito ufficiale per chi volesse approfondire l’argomento o abbia dubbi in merito. Inoltre, ha spiegato che non ritiene preoccupante lo sblocco via maschera per quanto riguarda gli utenti comuni.
Per realizzare l’exploit, infatti, è necessaria una certa collaborazione da parte del proprietario dello smartphone o comunque ottenerla in qualche modo. Lo sblocco via maschera potrebbe però consentire alle agenzie governative o ad aziende di scoprire informazioni importanti su rivali e concorrenti, sfruttando il proof-of-concept di Bkav per accedere in maniera fraudolenta ai contenuti presenti sugli smartphone di membri di paesi e aziende rivali.