Durante la Black Hat Security Conference, alcuni ricercatori hanno mostrato come sono in grado di bypassare l’autenticazione tramite Face ID utilizzando semplicemente un paio di occhiali e un po’ di nastro adesivo.

Come evidenziato dai ricercatori, uno dei difetti del Face ID è che se si indossano gli occhiali, la funzione non “estrae informazioni 3D dall’area degli occhi quando riconosce gli occhiali”. Questa vulnerabilità è stata scoperta dai ricercatori con Tencent.

Per lanciare l’attacco, i ricercatori hanno sfruttato una caratteristica dietro il riconoscimento biometrico chiamata rilevamento della “vivacità”, che fa parte del processo di autenticazione biometrica che confronta le caratteristiche “reali” rispetto a quelle “false” delle persone. Funziona rilevando il rumore di fondo, la distorsione della risposta o la sfocatura della messa a fuoco.

I ricercatori hanno studiato in modo specifico il modo in cui il rilevamento della vivacità analizza gli occhi di un utente. Hanno scoperto che l’astrazione dell’occhio per il rilevamento della vivacità rende un’area nera (l’occhio) con un punto bianco su di essa (l’iride). E hanno scoperto che se un utente indossa gli occhiali, cambia il modo in cui il rilevamento della vivacità scansiona gli occhi.

Scoperto un modo per ingannare il Face ID usando del nastro e un paio di occhiali 1

I ricercatori sono stati in grado di sfruttare questa debolezza prendendo un paio di occhiali e posizionando un nastro nero sulle lenti e un nastro bianco all’interno del nastro nero. I ricercatori hanno soprannominato questi occhiali gli “occhiali X”. In sostanza, con questi occhiali su una vittima, i ricercatori possono bypassare la funzione di rilevamento del Face ID e ottenere con successo l’accesso all’iPhone di qualcuno.

Certo, bisogna dapprima far indossare gli “occhiali X” alla vittima e farla stare ferma abbastanza affinché il Face ID avvii il processo di riconoscimento.

Chiaramente Apple è stata messa a conoscenza di questa vulnerabilità e, la sua sistemazione (anche in previsione di un suo utilizzo sui futuri Mac) va a integrarsi nella più ampia novità legata all’espansione del programma che fornisce premi in denaro a coloro scoprono falle di sicurezza di iOS, macOS e iCloud.