Medewerkers van het Vietnamese beveiligingsbedrijf Bkav beweren dat ze de Face ID-beveiliging van de nieuwste iPhone hebben gekraakt. Ze fopten de gezichtsherkenning van Apple met een masker van plastic en siliconen. De truc zal eerst door andere veiligheidsonderzoekers moeten worden herhaald, voordat Apple zich zorgen moet gaan maken.
Jarenlang moesten we een pincode intoetsen om onze mobiele telefoon te ontgrendelen. Toen kwamen telefoonbouwers met de vingerafdrukscanner en sinds een week is de iPhoneX op de markt, die van het slot gaat als hij je gezicht herkent. Apple laat het toestel een foto van je gezicht maken en vergelijkt die met het beeld waarmee de telefoon is ingesteld direct na ingebruikname. Is er een match tussen die beelden, dan ontgrendelt de telefoon. Nieuw is dat de iPhoneX hiervoor niet alleen een foto maakt, maar ook een 3D-kaart van het gezicht.
Maar die beveiliging is lek, beweert het Vietnamese computerbeveiligingsbedrijf Bkav een week na de lancering van de prijzige smartphone. Het bedrijf maakte zijn claim afgelopen vrijdag bekend met een blogpost, meldt Wired. Daarin is het gezichtsmasker te zien dat medewerkers van een van hun collega's hebben gemaakt en waarmee een gloednieuwe iPhoneX (lees: ‘Nieuwe iPhone heeft speciale chip voor AI’) op deze video wordt ontgrendeld.
Het masker bestaat voor een groot deel uit kunststof, dat door een 3D-printer in de vorm van het gewenste gezicht werd gebracht. De neus van het masker is van siliconenrubber. Het meest opvallende van het masker zijn de ogen; daarvoor gebruikten de makers plaatjes van ogen, die ze afdrukten met een gewone (tweedimensionale) kleurenprinter.
Gemakkelijker dan verwacht
In totaal hebben de Vietnamezen een kleine week aan de kraak gewerkt en daarbij hebben ze zo’n 150 dollar (130 euro) aan materialen gebruikt. ‘Het ging allemaal veel makkelijker dan we hadden verwacht. Zo heeft het Apple-systeem maar de helft van je gezicht nodig om de gebruiker te herkennen; dit kun je thuis uitproberen’, schrijven ze in een update op hun blogpost.
Toch denken de Bkav-medewerkers niet dat gewone gebruikers zich veel zorgen hoeven te maken over deze vermeende zwakheid in de beveiliging van hun iPhoneX. Daarvoor is de kraak toch te veel werk en ook te fijnzinnig; hij vereist nogal wat handigheid.
Infrarood licht
Het meest ingewikkelde bij deze hack is waarschijnlijk het namaken van de vorm van het gezicht van de eigenaar van de telefoon. De iPhoneX scant namelijk met infrarood licht het gezicht van de eigenaar af. Daarna vergelijkt software het gevormde 3D-beeld met de scan die de eigenaar van zijn of haar gezicht maakte bij het instellen van de nieuwe telefoon. Kloppen de beelden met elkaar, dan gaat de telefoon van het slot.
3D-scan van gezicht
Om dit systeem te foppen, moet je dus op een of andere manier een goede driedimensionale scan van het gezicht maken. Dat wordt technisch gezien steeds beter mogelijk (lees: ‘Op maat gemaakt montuur dankzij 3D-scan’), maar het vereist veel kennis en werk om dat met een handzaam apparaatje te doen. ‘Daarom zul je slachtoffers van potentiële hacks dan ook eerder vinden onder miljardairs, CEO’s, regeringsleiders en geheim agenten,’ aldus de beveiligingsexperts uit Vietnam.
Te vroeg
De hack van de nieuwe iPhone lijkt op het eerste gezicht een doorbraak, en een pijnlijke nederlaag voor Apple. Maar het is nog te vroeg om dat te concluderen. Eerst zullen andere computerbeveiligers hetzelfde trucje moeten uithalen. Zelf hebben de medewerkers van Bkav nog weinig technische details bekendgemaakt over hun hack; die volgen binnenkort.
Het zou best kunnen dat Bkav een mooie stunt uithaalt met als doel wat reclame te maken voor het bedrijf. Het is mogelijk dat het de telefoon met opzet heeft getraind met een vereenvoudigd model van het gezicht van de eigenaar. Op die manier ‘leerden’ ze de telefoon om een gezicht te herkennen dat lijkt op hun masker (en niet op een levensecht gezicht). Dit zou valsspelen zijn en het probleem voor Apple voorlopig wegnemen. Een echt menselijk gezicht zit immers ingewikkeld en subtiel in elkaar.
Stukjes papier
Mocht de hack van de Vietnamezen wél standhouden, dan is het meest opvallende aspect dat de telefoon gefopt kan worden met ogen van twee geprinte stukjes papier, vertelde een beveiligingsexpert tegen Wired. Patenten van Apple leken er namelijk op te wijzen dat Face ID ook oogbewegingen meet om te zorgen dat alleen een levend mens kan inloggen. Maar als Bkav gelijk heeft, dan kan de iPhoneX voor de gek worden gehouden door hem voor het gezicht van de eigenaar te houden wanneer die slaapt of zelfs – en dan wordt het luguber – vastgebonden of overleden is.
Beeldmateriaal Bkav
Nieuwsbrief
Vond je dit een interessant artikel, abonneer je dan gratis op onze wekelijkse nieuwsbrief.