it-swarm.dev

Quanto è sicuro il riconoscimento facciale di Android?

Android supporta l'utilizzo del riconoscimento facciale per sbloccare il telefono. Quanto è sicuro quel meccanismo?

Ad esempio, se qualcuno ha un'immagine di buona qualità del tuo viso, può sconfiggere lo schema di riconoscimento facciale alzando l'immagine al telefono? Il Android include qualche metodo per testare la "vivacità" (cioè che è presente una persona viva, non solo una foto della persona)?

Ricordo di aver visto un discorso sulla sessione di groppa che descriveva un attacco allo sblocco del riconoscimento facciale Android. L'attacco ha funzionato avviando un'immagine del viso dell'utente. Poi hanno fatto una copia dell'immagine e hanno usato Paint per alterarlo in modo che gli occhi dell'utente sembrassero chiusi (dipingendo il colore della pelle sugli occhi per simulare le palpebre chiuse). Infine, hanno visualizzato queste immagini sullo schermo di un computer, alternandole in una sequenza progettata per sembrare che la persona stesse sbattendo le palpebre e puntò il telefono verso lo schermo del computer. Se ho capito bene, questo aveva lo scopo di sconfiggere un test di vivacità (in cui il telefono rileva vivacità in base al battito di ciglia). Gli oratori hanno affermato che questo attacco ha funzionato, ma non ricordo più dettagli. Questo attacco funziona ancora (se mai lo ha fatto) su Android? Oppure, ci sono altri attacchi noti?


Ecco cosa ho letto finora. Ice Cream Sandwich (Android 4.0) ha introdotto FaceLock. Jelly Bean (Android 4.1.1) ha introdotto un "Liveness Check", che controlla il battito degli occhi . Ho scoperto sostiene che senza Liveness Check, FaceLook può essere aggirato tenendo in mano un'immagine statica e che il Liveness Check può essere sconfitto attraverso il trucco descritto sopra. (Ecco n video che mostra l'attacco.) Funziona ancora? Ci sono altre minacce di cui preoccuparsi?

19
D.W.

Hai già fatto abbastanza ricerche per vedere che il riconoscimento facciale su Android è facilmente aggirabile. Ho letto (anche se non riesco a trovare il link ora) che i ricercatori sono stati in grado di sconfiggerlo usando l'immagine di una persona dall'aspetto simile, nemmeno la persona reale. Quando ci pensi, aspettarti che il riconoscimento facciale funzioni su un dispositivo con risorse limitate e quando si prevede che funzioni in una frazione di secondo, è un ordine elevato. certo che alla fine ci arriverà, ma per ora non è forte.

Penso che prima di escluderlo completamente, dovresti considerare cosa stai cercando di proteggere. La maggior parte dei telefoni vengono rubati allo scopo esplicito di essere venduti sul mercato nero e non per le informazioni su di essi. La maggior parte viene cancellata senza che nessuno tenti di ottenere i dati. Dato che un ladro avrebbe bisogno di ottenere in qualche modo un'immagine di qualità della sua vittima nella posizione corretta per poter sbloccare il telefono, sembra probabile che il riconoscimento facciale sarebbe una sicurezza "abbastanza buona" per molte persone in quanto aumenta il livello di difficoltà sufficientemente.

Se un utente malintenzionato vuole davvero accedere al telefono di qualcuno e ha il tempo e le risorse per ottenere una foto del proprietario, il riconoscimento facciale non impedisce l'accesso. Quindi, se hai informazioni sul tuo telefono che qualcuno vorrebbe davvero, o hai il dovere di proteggerle, non usare il riconoscimento facciale. Se il tuo telefono non ha nulla di interessante, allora perché non utilizzarlo?

14
GdD

Il riconoscimento facciale è francamente sopravvalutato. È una specie di ritorno a Hollywood.

Per me i principali punti deboli sono:

  • Molte forme, come notato, possono essere sconfitte da immagini statiche
  • Anche i moduli che controllano il lampeggiamento a volte possono non riuscire a creare un video ben preparato generato da un'immagine statica
  • I moduli che proteggono da immagini statiche e video sono lenti per l'autenticazione, il che sarebbe molto inadatto per l'elettronica di consumo come Android.
  • È un po 'troppo facile forzare lo sblocco di qualcuno (ad es. Utilizzando una videochiamata), quindi non adatto per applicazioni ad alta sicurezza.
  • Non consente alcun percorso facile verso un sistema di accesso coercitivo, mentre una password coercitiva, pin ecc. Sono tutti relativamente facili da implementare.

Per me, è un bel espediente su un telefono, ma è tutto un po 'di sicurezza in stile "La mia voce è il mio passaporto, verificami" - un po' romanticizzato e non dovrebbe essere sopravvalutato. È un'opzione a bassa sicurezza nella migliore delle ipotesi.

Potrebbe, tuttavia, costituire un piacevole fattore aggiuntivo per l'autenticazione, se considerato bene per qualsiasi applicazione. Come tutto ciò che riguarda la sicurezza, si tratta della soluzione giusta per il problema giusto. Non assicurerei la mia casa con esso, ma potrei proteggere il mio frigorifero con esso;)

3
Owen

Il riconoscimento facciale di Android è più sicuro del famoso

1234
0000
...

le password.

È più debole di qualsiasi altra forma di password numerica a 4 posizioni.

Inoltre, rappresenta un grave rischio perché amplifica la già pubblica esposizione di un quadro personale, creando quindi una superficie di attacco più ampia (dove non era affatto vitale: Facebook è un leader in questo campo). Quindi, come tutte le tecniche biometriche, questa è una
miglioramento del rischio.

1
dan