Una máscara burla la tecnología de reconocimiento facial del iPhone X de Apple

La tecnología Face ID de Apple, el principal mecanismo biométrico de autentificación del nuevo teléfono iPhone X, ha sido burlado poco más de una semana después de su lanzamiento.

Los investigadores de la compañía de seguridad vietnamita Bkav demostraron que podían burlar la tecnología para desbloquear el teléfono con una máscara elaborada con una impresión 3D, silicona, maquillaje e imágenes bidimensionales; la hazaña implicó un gasto total de 150 dólares.

La compañía dijo el sábado en una sección de preguntas frecuentes que su prueba de concepto demuestra que esta tecnología no es tan impenetrable como se cree, a pesar de que Apple asegura que no se puede burlar para desbloquear los dispositivos.

“Apple no lo hizo tan bien”, dijo la compañía.

Pero el ataque tiene algunas limitaciones. Apple dijo que en ciertas situaciones el iPhone X solicitará un código de acceso además de la autentificación de Face ID. Según explicó Apple, esto ocurre en las siguientes situaciones:

• El dispositivo acaba de encenderse o reiniciarse.
• El dispositivo no se ha desbloqueado por más de 48 horas.
• El código de acceso no se ha utilizado para desbloquear el dispositivo en seis días y medio y Face ID no ha desbloqueado el dispositivo en las últimas 4 horas.
• El dispositivo recibió una orden de bloqueo de forma remota.
• Después de cinco intentos frustrados de reconocer un rostro.
• Después de activar el apagado del dispositivo o el llamado de emergencia al mantener presionado uno de los botones de volumen y el botón del costado durante dos segundos.

“Para comprometer la autentificación Face ID, el atacante necesita elaborar un mapa detallado del rostro del usuario, crear una máscara que reproduzca los detalles exactos del rostro de la víctima, desbloquear el teléfono dentro de los primeros cinco intentos y hacerlo dentro de 48 horas”, dijo Paul Norris, ingeniero de sistemas de Tripwire a Threatpost. “Parece una secuencia de eventos muy difícil de lograr”.

Las preguntas frecuentes de Bkav omiten información de antecedentes que es clave para entender el ataque. Los investigadores no son precisos en cuanto a los detalles de construcción de la máscara (¿qué tecnologías de impresión 3D se usaron?) ni qué alteraciones tenía el dispositivo o en cuántos intentos lograron irrumpir en el teléfono antes de que se les pidiera escribir el código de acceso. Se cree que se puede entrenar la Inteligencia Artificial para que desbloquee el dispositivo con la máscara si se ingresa un código de acceso válido después de un intento fallido con la máscara. El usuario tiene cinco intentos para realizar la autentificación antes de que se le pida la clave de acceso, que también es necesaria cada 156 horas sin importar cuántas veces se haya desbloqueado el dispositivo. Todo esto puede afectar los resultados de los investigadores.

Bkav explicó que el ataque engaña a la inteligencia artificial de la tecnología de reconocimiento facial, y recalcó que no son ajenos a este tipo de proezas desde 2008, cuando burlaron una tecnología similar de las computadoras portátiles Toshiba, Lenovo y Asus. Los ataques más viejos usaban imágenes digitales del usuario para acceder a los equipos, como se demostró en una exposición de la conferencia Black Hat DC.

La hazaña, que se presenta como una prueba de concepto, aparece en tiempos en los que el FBI está preparando otra campaña pública para desvirtuar el cifrado y las plataformas de mensajería segura. El FBI ha confiscado un teléfono móvil bloqueado del sospechoso de haber asesinado a 26 personas en un tiroteo en Texas el 6 de noviembre. El bureau admitió que no podía desbloquearlo, problema que también tuvo con el teléfono del terrorista de San Bernardino el año pasado, un incidente que inició una marcada rivalidad entre Apple y el FBI.

“Ahora que nuestra máscara ha engañado a Face ID, el FBI, la CIA, los líderes de gobiernos y de grandes compañías, etc., son quienes deben conocer esta vulnerabilidad porque los dispositivos que tienen en su poder ameritan estos intentos ilícitos de penetración. Explotar esta falla es difícil para los usuarios comunes, pero muy simple para los profesionales”, dijeron los investigadores de Bkav. “Estos estudios no están dirigidos a usuarios regulares, sino a los multimillonarios, líderes de grandes corporaciones, líderes de gobiernos y agentes como los del FBI, que necesitan comprender la vulnerabilidad de Face ID. Los competidores de unidades de seguridad, rivales comerciales de compañías y hasta las naciones pueden beneficiarse de nuestra prueba de concepto”.

Bkav también afirmó que esta prueba de concepto seguirá funcionando, aunque Apple afirma que Face ID está aprendiendo constantemente de cada intento de autentificación para mejorar la representación matemática del rostro del usuario.

“No importa si Face ID de Apple ‘estudia’ las nuevas imágenes del rostro, esto no afectará la realidad que es que Apple Face ID no es una medida de seguridad eficiente”, dijeron los investigadores.

Un video del ataque (abajo), muestra cómo el teléfono se desbloquea un instante después de que se destapa una máscara que estaba cubierta con una manta.

Los investigadores explicaron que la máscara es una mezcla de impresiones 3D y un trabajo artesanal; un artista realizó la nariz de la máscara con silicona siguiendo especificaciones de los investigadores. Los investigadores le hicieron algunas modificaciones después de vencer a la inteligencia artificial, agregando que el teléfono se desbloquea aun cuando se muestre sólo la mitad del rostro del usuario. Tomó seis días perfeccionar la máscara para que venciera las tecnologías de Face ID.

“Puedes intentarlo con tu propio iPhone X, que te reconocerá aunque te cubras la mitad del rostro”, dijeron. “Significa que el mecanismo de reconocimiento no es tan estricto como crees, Apple confía demasiado en la inteligencia artificial de Face ID. Sólo necesitamos media cara para crear la máscara. Fue más sencillo de lo que nosotros mismos creíamos”.

Fuente: Threatpost