Eduardo Archanco
Tenía que suceder. Basta con que Apple diga que Face ID es seguro para que hackers de todo tipo recojan el guante y afirmen, como Barney Stinson, challenge accepted! Ahora, un grupo procedente de Vietnam afirma haber burlado el sistema de autenticación facial del iPhone X con un método que Apple asegura que ya ha probado: una máscara del usuario registrado en Face ID.
Aunque, como veremos, no se trata de un procedimiento que sea precisamente de "andar por casa".
Una máscara sacada de tus peores pesadillas
El grupo Bkav Corporation es el autor del video superior, una compañía vietnamita de seguridad informática. En él puede verse cómo una máscara es capaz de desbloquear un iPhone X y posteriormente al usuario a quien pertenece esa máscara. Se trata de una máscara de color blanco que parece ser un molde hecho de la cara del usuario al que le han colocado los dos ojos, nariz y boca.
Tanto los ojos como la boca son fotografías impresas en 2D, que han pegado encima del molde blanco hecho con una impresora 3D. Para la nariz, contrataron a un artista que la hizo en silicona, de esto afirman lo siguiente:
Pedimos a un artista que la hiciera primero en silicona. Después, nos dimos cuenta de que la nariz no encajaba a la perfección con lo que necesitábamos, por lo que la arreglamos por nuestra cuenta para hacerlo funcionar. Por eso puede verse cómo la parte izquierda de la nariz es de diferente color.
De ahí que el aspecto final de la máscara sea de pesadilla. Según la compañía de seguridad, el proceso total ha costado 150 dólares y entre 5-6 días desde que recibieron su iPhone X. Aunque todo el proceso está plagado de asteriscos por todas partes y hace que nos hagamos numerosas preguntas.
Face ID y los gemelos malvados
Apple puso el listón muy alto cuando presentó Face ID y afirmó que era muy superior a Touch ID, gracias a una tasa de error de 1:1.000.000 en vez de 1:50.000. Sin embargo y como dijo la propia compañía, no es un sistema perfecto porque ante hermanos gemelos, familiares muy parecidos o menores de 13 años podía burlarse. Para estos casos, el usuario que no se fíe de su gemelo o hermano malvado pueden deshabilitar Face ID y utilizar una contraseña en un iPhone X.
El hackeo que han elaborado desde la compañía vietnamita tiene pinta de aprovechar este tipo de debilidad. Crear una máscara lo suficientemente parecida al sujeto principal como para que el sistema de autenticación facial acepte el rostro. Aunque no han explicado qué ha ocurrido detrás de las cámaras, creo que los tiros van por aquí.
Face ID además cuenta con un sistema de aprendizaje automático que le permite aprenderse nuestro rostro para reconocerlo en diferentes situaciones. Con gafas o sin ellas, con gorro, sin afeitar, con maquillaje o poniendo caras. Conforme utilizamos el sistema, va perfeccionando las situaciones y márgenes de aceptación de nuestro rostro. Y si en algún momento tiene dudas, nos pide la contraseña.
Cuando esto sucede y se introduce la contraseña correcta, Face ID toma nota y dice "¡Ah! Este también eres tú, no te había reconocido con ese gorro / gafas de sol / maquillaje / barba". Esas pequeñas variaciones en una misma persona se van añadiendo al sistema de autenticación para permitir la entrada al iPhone X la próxima vez.
Es muy probable que los autores del video hayan entrenado al Face ID de su iPhone X para reconocer la máscara como si fuera el propio usuario. Que cuando éste haya rechazado la máscara, hayan introducido la contraseña para decirle "Eh, este tipo también soy yo". Una vez tras otra, hasta que no hizo falta el código.
Un hackeo con demasiados asteriscos
Viendo tanto el video como las preguntas y respuestas que responden en su web, podemos elaborar una lista de los requerimientos necesarios para engañar a Face ID:
-
Una impresora de objetos 3D para la máscara blanca. No especifican el modelo pero podría costar entre 500 y 3.500 dólares.
-
Fotos de frente y en alta resolución para los ojos y boca, tampoco especifican la resolución necesaria.
-
Un artista para elaborar la nariz en silicona, con un coste de unos 150 dólares.
-
Una cámara capaz de grabar al sujeto de frente y en 3D. Ponen de ejemplo el smartphone Xperia XZ1.
-
En su defecto, contar con una sala preparada para la captura de imágenes en 3D.
-
Acceso al usuario para poder fotografiarlo en 3D.
-
Acceso físico al iPhone X.
Y lo más importante: tiempo. Necesitas disponer de todos estos elementos en el mismo momento y durante un tiempo prolongado. Tanto, que este hack es inviable llevarlo a la práctica sin que se dé cuenta el usuario o que el iPhone X acabe solicitando el código de bloqueo. Porque, recordemos, hay un número limitado de 5 intentos para reconocer un rostro como auténtico o no.
No es un hack fácil de reproducir para alguien sin los medios ni recursos necesarios para conseguirlo. Desde luego, no es como imprimir una fotografía y colocarla en el sensor como ocurre con otros terminales.
Face ID sigue siendo igual de seguro
Cuando Apple presentó Touch ID, hubo muchos que pensaron que la compañía iba a provocar un aumento de secuestros y amputaciones de dedos para robar terminales. Cosa que no hace falta decir que no ha sucedido. Con Face ID se vuelve a repetir la historia, pero de momento no se han dado casos de decapitaciones.
El engaño presentado por la compañía de seguridad recuerda al que realizaron unos hackers alemanes con Touch ID. Uno que requería tener acceso físico tanto al terminal como a una huella válida del usuario, además de poder capturar esa huella con una resolución de 2.400 dpi, tratarla y trasladarla a un molde para su colocación en una lámina de látex. Súper sencillo también.
Face ID sigue siendo un sistema de autenticación seguro. Siempre que tengamos en cuenta que todo el trabajo desarrollado por los hackers vietnamitas se queda fuera de lo razonable.
En Applesfera | Por si aún había dudas: Apple desvela el funcionamiento completo de Face ID.
Ver 86 comentarios
86 comentarios
Uti
Este artículo es para tomárselo a broma. . . . . . . . . .Naturalmente que hay formas de burlar casi todos los sistemas de seguridad.
Pero hablamos de situaciones normales y con personas normales, no de 007 detrás de uno jajajajajajajajaja
Todos los métodos que hay implican tener foto o huella del dueño, si pierdes o te roban el iPhone, el ladrón no tiene nada de eso, por tanto, todos los supuestos fallan. . . . . . . . .Todo esto no pasa de ser un relato entretenido, nada más.
A mío lo que me sobra en el artículo es la referencia a Samsung y el vídeo de la foto, zapatero a tus zapatos, ciñámonos a lo nuestro, y dejemos a los demás con lo suyo, en todas partes cuecen habas, no hay que pasarse la vida con el "y tú más", es pueril.
marco.caricol
Es que Efectivamente es un medio seguro, a la gente se le olvida que a no ser que seamos artistas de cine y tengamos como “colega” cabron a un escultor de museo de cera no va a pasar esto, y por último tenemos que robar literalmente el terminal de la otra persona, porque si el FaceID es poco seguro imagínate el reconocimiento facial del S8, y si me dices que también tiene otros medios de seguridad también puedes poner a este un código. Lo normal verdad?
Jorge Farid
La piel que habito...
yosoytupadre
Este mató a su hermano gemelo y le arrancó la cara. Eso sí, no lo hizo muy bien y tuvo que sustituir algunas partes.
ban_carnage
Cuando salió el 5s (o fue el 6?) también salieron con que lo habían hackeado usando un método igualmente complicado...
Pero a pesar de eso todos se subieron al barco de los lectores de huellas y hasta la fecha todos contentos.
Y si los rumores son ciertos, ya Qualcomm, Xiaomi, Huawei, Oppo (y quizá Samsung) también van camino a subirse al barco y empezar a implementar telefonos con reconocimiento en 3D.
fabiancillo
la cuestión no es que tan simple o complejo sea el hackeo, es que es posible. O creen que desencriptar claves o robar accesos a AP de wifi se hace con papas?
angst
Si eres Magyver dice quitando hierro al asunto...
Ahora no habrá problema FBI-Apple supongo, les bastará contratar un buen escultor y hackear cualquier móvil de algún sospechoso y voila!
Todos artículos creados por Archancos y CIA defendiendo a Apple y su buen hacer en el TEMA Touch ID, que sí la seguridad es lo primordial, que si Apple lo hace por nuestro bien, que ni siquiera ellos pueden hackear el móvil etc etc etc... Todo tirado al garete y de seguridad ya se ve que tiene menos que la del Touch ID, supongo que en el FBI están buscando algún buen escultor para por si acaso dada la facilidad que ahora supone hackear el iPhone...
Pero tranquilos, que no será Richard Dean Anderson que haga algo a vuestros iPhones "equis"