Könnyen kijátszható az arcfelismerés
Egy biztonsági rendezvényen bebizonyosodott, hogy egyes noteszgépek esetében alkalmazott arcfelismerő technológiák nagyon könnyen megtéveszthetők és kijátszhatók.
Az elmúlt időszakban több noteszgépgyártó is piacra dobott olyan hordozható számítógépeket, amelyek arcfelismerő funkciókkal igyekeznek megkönnyíteni az operációs rendszerbe való bejelentkezést és a hitelesítést. E megoldások célja, hogy kényelmesebbé tegyék a bejelentkezés folyamatát, és a felhasználónak ne kelljen beírogatnia a nevét, valamint a jelszavát ahhoz, hogy használni tudja a Windowst. Ehhez a noteszgép tulajdonosának nem kell mást tennie, mint belenéznie az integrált kamerába, amely készít egy fényképet, és azt összehasonlítja egy előzőleg eltárolt fotóval. Amennyiben egyezőség van, akkor a felhasználó hitelesítése automatikusan megtörténik. Vagyis e rendszerek valóban kényelmes és gyors használatot biztosítanak. De vajon mekkora biztonságot nyújtanak? Nos, a Black Hat konferencia egyik érdekes előadása alapján elmondható, hogy a helyzet nem túl rózsás.
Nguyen Minh Duc, a Bkis (Bach Khoa Internetwork Security Centre) kutatója egy speciális bemutatót tartott, amelynek célja az volt, hogy felhívja a figyelmet a noteszgépekbe épített arcfelismerő megoldások gyengeségeire. A szakember előadása során a Lenovo Veriface III rendszerét, az ASUS Smart Logon szoftverét, valamint a Toshiba Face Recognition technológiáját tette próbára. Minh Duc nagyon egyszerű módszert választott az arcfelismerő megoldások átejtéséhez, hiszen nyomtatott képeket helyezett a kamerák elé, amelyek képtelenek voltak megkülönböztetni a valós és a digitalizált arcokat, így az alkalmi hekker könnyedén be tudott jelentkezni a Windowsba. Az egyik rendszer ráadásul még fekete-fehér fényképekkel is megtéveszthető volt. A Toshiba megoldásának esetében egy kis trükközést kellett bevetni, hiszen az figyeli az arc mozgását a hitelesítés során. A technológia kijátszásához azonban Minh Ducnak nem kellett mást tennie, mint a bejelentkezés során a kezében tartott fényképet időnként megmozdítania.
A szakértő szerint a noteszgépekbe épített arcfelismerő rendszerek sebezhetősége a mögöttük álló technológiákban keresendő, és azon algoritmusok gyengeségére vezethető vissza, amelyek képtelenek megkülönböztetni egy valós arcot egy fényképtől. Minh Duc azt állította, hogy a gyártókat már értesítette a problémáról, és arra bíztatta őket, hogy gondolják át az arcfelismerés biztonságos bejelentkezésre való használatát mindaddig, amíg a hibákat nem sikerül kijavítani.
A Lenovo szóvivője nem szállt vitába a Minh Duc-féle felfedezéssel. Elmondta, hogy a felhasználóknak kellene mérlegelniük, hogy a kényelmes és gyors arcfelismerést választják, vagy inkább maradnak a nagyobb fokú biztonságot nyújtó — komplex és hosszú — jelszavak megadásánál, illetve az ujjlenyomat-olvasók használatánál. Majd hozzátette, hogy a VeriFace a szem mozgását figyeli annak érdekében, hogy képes legyen megkülönböztetni egy valós arcot egy fényképtől.
