Il Face ID dell’iPhone X è il fiore all’occhiello della compagnia in termini di sicurezza, eppure sembra non essere del tutto infallibile. La società di sicurezza Bkav infatti ha trovato un modo per sbloccare lo smartphone ed accedere ai suoi dati, anche se in maniera molto laboriosa.
E’ possibile infatti tramite una maschera da 150 $ aggirare il controllo del Face ID, ciò desta molte preoccupazioni. Il riconoscimento facciale è l’unico sistema di protezione dell’iPhone X e presto sostituirà completamente la rilevazione delle impronte digitali.
L’Hack della Bkav
La Bkav si occupa principalmente di testare le vulnerabilità dei dispositivi elettronici, per far sì che le aziende vi pongano rimedio, sottoponendo i componenti in questione alle prove più svariate.
Nel 2009 l’azienda si era già distinta per l’aggiramento del riconoscitore facciale nei portatili Toshiba e Lenovo.
Come mostrato nel video basta esporre la maschera ai sensori dell’iPhone ed il gioco è fatto.
La tecnica, fortunatamente non è alla portata di tutti. Per realizzare la maschera è necessario l’aiuto del proprietario del dispositivo, dal cui volto bisogna estrarre dei modelli 2D e 3D, e bisogna inoltre modellare alcune parti del viso in silicone.
Nessun pericolo?
L’exploit prevede la conoscenza approfondita del meccanismo interno del Face ID per cui nessuna persona comune potrebbe sbloccare effettivamente un iPhone X, come dichiarato da un dipendente della Bkav ad Ars Technica.
È piuttosto difficile realizzare la maschera corretta senza avere una certa competenza nel campo della sicurezza.
Siamo stati capaci di superare l’IA di Apple perché conosciamo come funziona e sappiamo come aggirarla.
La Bkav ha inoltre indetto una conferenza stampa il 15 novembre e messo a disposizione una sezione di domande e risposte sul suo sito per rispondere agli interrogativi di tutti.
Il pericolo, seppur lieve, però resta. Soprattutto quando si parla di dati sensibili ad alto valore, segreti di ufficio, informazioni governative, persone senza scrupoli potrebbero fraudolentemente sfruttare l’exploit per scopi illeciti. Sembra una preoccupazione da film di spionaggio, dove la spia usa delle maschere per eludere la sicurezza ed infiltrarsi nel caveau della banca, ma la protezione dei dati è una faccenda dannatamente seria.