Quanto è sicuro il riconoscimento facciale di Android?

Naviga le tue risposte
19

Android supporta l'utilizzo del riconoscimento facciale per sbloccare il telefono. Quanto è sicuro quel meccanismo?

Ad esempio, se qualcuno ha un'immagine di buona qualità del tuo viso, può sconfiggere lo schema di riconoscimento facciale tenendo l'immagine sul telefono? Il meccanismo Android include un metodo per testare la "vividezza" (cioè, che c'è una persona viva presente, non solo un'immagine della persona)?

Ricordo di aver visto una sessione di sessione che parlava di un attacco allo sblocco del riconoscimento facciale Android. L'attacco ha funzionato avviando un'immagine del volto dell'utente. Poi hanno fatto una copia dell'immagine e hanno usato Paint per alterarlo in modo che gli occhi dell'utente sembrassero chiusi (dipingendo il colore della pelle sugli occhi per simulare le palpebre chiuse). Alla fine, hanno mostrato queste immagini sullo schermo di un computer, alternandole in una sequenza progettata per sembrare che la persona stesse lampeggiando e puntando il telefono verso lo schermo del computer. Se ho capito bene, questo era destinato a sconfiggere alcuni test di vividezza (in cui il telefono rileva la vivacità in base al battito delle palpebre). I relatori hanno affermato che questo attacco ha funzionato, ma non ricordo altri dettagli. Questo attacco funziona ancora (se mai lo è stato) sui telefoni Android? O ci sono altri attacchi noti?

Ecco cosa ho letto finora. Ice Cream Sandwich (Android 4.0) ha introdotto FaceLock. Jelly Bean (Android 4.1.1) ha introdotto un "Controllo di vitalità", che controlla che gli occhi lampeggino . Ho trovato afferma che senza Liveness Check, FaceLook può essere bypassato trattenendo un'immagine statica e che il Controllo di vitalità può essere sconfitto tramite il trucco descritto sopra. (Ecco un video che mostra l'attacco.) Does this ancora lavoro? Ci sono altre minacce di cui preoccuparsi?

    
posta D.W. 14.10.2013 - 08:58
fonte

3 risposte

14

Hai già fatto abbastanza ricerche per vedere che il riconoscimento facciale su Android è facilmente aggirabile. Ho letto (anche se non riesco a trovare il collegamento ora) che i ricercatori sono stati in grado di sconfiggerlo usando la foto di una persona dall'aspetto simile, nemmeno la persona reale. Quando ci pensate, aspettatevi che il riconoscimento facciale funzioni su un dispositivo con risorse limitate e quando è previsto che funzioni in una frazione di secondo, è un compito arduo. Sono sicuro che alla fine ci arriverà, ma per ora non è strong.

Penso che prima di escluderla completamente dovresti considerare che cosa stai cercando di proteggere. La maggior parte dei telefoni viene rubata con il preciso scopo di essere venduta sul mercato nero e non per le informazioni su di essi. La maggior parte viene cancellata senza che nessuno tenti di ottenere dati da loro. Dato che un ladro avrebbe bisogno in qualche modo di ottenere un'immagine di qualità della vittima nella posa corretta per poter sbloccare il telefono, è probabile che il riconoscimento facciale sarebbe "abbastanza buono" per molte persone mentre solleva la barra della difficoltà sufficientemente.

Se un utente malintenzionato vuole davvero l'accesso al telefono di qualcuno e ha il tempo e le risorse per ottenere una foto del proprietario, il riconoscimento facciale non impedirà l'accesso. Quindi, se hai informazioni sul tuo telefono che qualcuno vorrebbe davvero o ha il dovere di proteggere le informazioni su di esso, allora non usare il riconoscimento facciale. Se il tuo telefono non ha nulla di interessante, perché non usarlo?

    
risposta data 14.10.2013 - 10:05
fonte
3

Il riconoscimento del volto è francamente sopravvalutato. È un po 'un ritorno a Hollywood.

Per me i principali punti deboli sono:

  • Molte forme, come notato, possono essere sconfitte dalle immagini statiche
  • Anche i moduli che controllano il lampeggiamento possono a volte non riuscire a un video ben preparato generato da un'immagine statica
  • I moduli che proteggono sia le immagini statiche sia i video sono lenti nell'autenticazione, il che sarebbe molto inadatto per l'elettronica di consumo come i dispositivi Android.
  • È un po 'troppo facile costringere qualcuno a sbloccare (ad esempio, utilizzando una videochiamata), quindi inadatto per applicazioni ad alta sicurezza.
  • Non consente alcun percorso facile per un sistema di accesso coercitivo, mentre una password coercizione, pin ecc. sono tutti relativamente facili da implementare.

Per me, è un bel trucco su un telefono, ma è tutto un po '"La mia voce è il mio passaporto, verificami" la sicurezza di stile - un po' romanticizzata, e non dovrebbe essere sopravvalutata. È un'opzione di bassa sicurezza al meglio.

Potrebbe, tuttavia, costituire un fattore aggiuntivo per l'autenticazione, se ben considerato per qualsiasi applicazione. Come tutto nella sicurezza, è una questione di soluzione giusta per il problema giusto. Non mi metterei in sicurezza la mia casa, ma potrei assicurarmi il mio frigo con esso;)

    
risposta data 16.10.2013 - 18:20
fonte
1

Il riconoscimento facciale di Android è più sicuro rispetto al famoso 

1234
0000
...

password.

È più debole di qualsiasi altra forma di password con numero di 4 posizioni.

Inoltre, è un grosso rischio perché amplifica la già pubblica esposizione di un quadro personale, creando quindi una superficie di attacco più ampia (dov'era non è affatto vitale: Facebook è un leader in questo campo). Quindi, come tutte le tecniche biometriche, questo è un rischio di improvvisazione .

    
risposta data 16.10.2013 - 12:25
fonte

Leggi altre domande sui tag

Quale chiave di firma dovrei utilizzare per certificare le chiavi pubbliche di altre persone: master o sottochiave? Il mio piano di aggiornamento JWT è sicuro?