Можно ли обмануть Face ID с помощью фотографии?
Использовать камеру и собственное лицо для разблокировки смартфона очень удобно. Но насколько безопасно?
Система сканирования лица в смартфоне впервые была представлена в iPhone X в 2017 году. Конкуренты Apple быстро подхватили технологию и незамедлительно представили свои модели смартфонов на базе ОС Android с разблокировкой с помощью сканирования лица.
Блогеры, журналисты и обычные пользователи, конечно, моментально задались вопросом: насколько надежна эта технология по сравнению со сканером отпечатка пальца, и можно ли её обмануть? Оказалось, что можно, но не на всех устройствах.
Face ID на iPhone
Продукция Apple славится не только дизайном и удобством, но и беспрецедентным уровнем безопасности. Технология Face ID не стала исключением. Работает технология следующим образом — при первом включении смартфон просит пользователя отсканировать свое лицо, вращая им перед камерой по осям для получения объемного снимка лица. В последующем, при разблокировке лицо сравнивается с тем шаблоном, который находится в памяти смартфона. Для сравнения используется сложное программное обеспечение, основанное на заранее обученной нейросети.
Начиная с модели iPhone X Apple использует камеру TrueDepth. Если быть точнее, это целый комплекс, состоящий из обычной и инфракрасной камеры камеры, а также «проектора точек», то есть ИК-подсветки. Проектор формирует на лице пользователя более 30 000 точек, создавая таким образом трехмерную карту лица. Нейросеть в этой связке отвечает за синхронизацию изменений на лице, таких как макияж, растительность, появления морщин и шрамов.
За счет использования ИК-камеры и датчиков глубины невозможно обмануть систему, поднеся к ней фотографию или показав 3D-маску. На этот случай система проверяет, находится ли перед камерой живой человек, делает она это с помощью нескольких моментальных снимков и последующего их сравнения. Если лицо настоящее, то снимки за счет движения мимических мышц будут немного различаться в нескольких точках, а, значит, лицо настоящее, а не застывшая маска.
Правда, в 2019 году специалистам удалось найти в системе слабое место. Оказалось, что если на пользователе надеты очки (солнцезащитные или затемненные), то система сравнивает лицо пользователя в двухмерном формате. И в таком случае можно использовать 3D-маску с очками и заклеенными изолентой областями на очках, имитирующими глаза.
Встроить такие датчики стоит недешево — отчасти отсюда и высокая цена устройства. Но как обстоят дела у конкурентов на Android?
Аналог Face ID на Android
Решения в среднем сегменте у Samsung, Huawei и других компаний основаны на более простом принципе с использованием селфи-камеры и изредка установленной ИК-подсветкой для освещения лица в темноте. Создание карты глубины используется крайне редко, в избранных флагманах, таких, например, как Google Pixel. Это помогает держать цену на устройства достаточно низкой, однако безопасность таких решений хромает, порой, на обе ноги.
Например, даже флагманские модели неоднократно удавалось обмануть с помощью обычной фотографии, распечатанной в высоком разрешении. Выяснилось, что смартфон не анализирует глубину и в результате принимает фотографию за реальное лицо. Такой же фокус можно провернуть, поднеся к камере смартфон с фотографией. Что уж говорить о более сложных трюках с 3D-масками и распечатанными в 3D-принтерах головами. Не даром многие производители не рекомендует использовать Face Unlock для подтверждения личности при совершении финансовых транзакций.
Что есть кроме Face ID?
В противовес сканеру лица, Huawei и Samsung предложили в своих смартфонах сканеры радужной оболочки глаза. Как и отпечаток пальца, рисунок радужной оболочки является уникальным для каждого человека и в отличие от от сканера отпечатка не страдает от проблем, связанных с запотеванием и загрязнением считываемой поверхности, ведь радужка глаза надежна защищена от воздействия внешних факторов.
Но выяснилось, что в современном виде и эта технология несовершенна, и её легко обмануть с помощью все той же маски с наложенными на нее линзами.
В общем производители также не рекомендуют полностью полагаться на такой способ разблокировки смартфона. Для полной безопасности рекомендуется использовать смешанный метод, с применением отпечатка пальца и сканера лица/глаза.
Подводим итог
В смартфонах на Android с ToF-датчиком и моделях iPhone с Face ID обмануть систему разблокировки по лицу обычной фотографией не удастся. Чтобы злоумышленник использовал 3D-маску и прочие технологичные способы, вы должны представлять для него большой интерес: например, быть владельцев миллионных счетов в банке. Вряд ли кто-то будет заниматься этим без четко выраженной мотивации.
Тем не менее специалисты уверены, что банальный дактилоскопический датчик обеспечивает более высокий уровень безопасности. Так что, если несколько миллионов у вас все-таки лежат, а на смартфоне есть банковское приложение, лучше использовать вариант разблокировки по отпечатку.
Если вы заботитесь о безопасности данных, почитайте в нашей статье, как зашифровать файлы на Google Диске.
А еще узнайте из нашего материала, можно ли подхватить вирус, скачивая приложения из Google Play и AppStore?