Face ID crackato di nuovo con una maschera, dagli stessi ricercatori

Display border-less e Face ID sono le caratteristiche peculiari del nuovo iPhone X, e quest'ultima nella fattispecie è stata presa di mira a più riprese da diverse società di sicurezza. La prima a scardinarne le difese è stata Bkav, ma ci sono stati anche casi isolati di gemelli e bambini che sono riusciti ad aggirare il metodo di protezione, l'unico, presente sul nuovo melafonino. Nelle scorse settimane abbiamo parlato del primo tentativo di Bkav, e adesso ce n'è un secondo.

Il primo esperimento è stato accolto da una serie di dubbi da appassionati ed esperti del settore, ed è probabilmente per questo che la compagnia è tornata sull'argomento. In un post pubblicato sul blog ufficiale Bkav spiega che ha utilizzato una maschera stampata in 3D, la cui produzione ha un costo di circa 200 dollari. Sulla maschera sono state poi applicate diverse immagini bidimensionali, fra cui quelle ad infrarossi specifiche per gli occhi in modo da simulare attentamente quella parte.

Gli occhi sono una componente fondamentale per il funzionamento di Face ID, soprattutto se consideriamo che il precedente metodo usato dalla compagnia di sicurezza richiedeva la disattivazione della feature "Presta attenzione". Si tratta, quest'ultima, di una funzione che per lo sblocco richiede che lo sguardo sia puntato verso il terminale. Attraverso le modifiche applicate alla maschera nel nuovo esperimento, Bkav è riuscita a superare anche questo limite.

Nel video realizzato a corredo dell'articolo si vede chiaramente che l'operatore imposta Face ID e lascia abilitate tutte le funzionalità di sicurezza prima di consentire alla maschera di sbloccarlo in pochi attimi. Bkav sostiene che i materiali e gli strumenti usati siano "alla portata di tutti", e che pertanto Face ID non sia "sicuro a sufficienza per essere utilizzato in transazioni importanti", come ad esempio Apple Pay, per citare il caso più popolare.

È tuttavia da specificare che per realizzare l'hack è necessario possedere una stampante 3D, centinaia di dollari di materiali, accesso fisico al dispositivo e, soprattutto, fotografie e stampi dettagliati della faccia della vittima per ricostruire le sue sembianze nella maschera. Inoltre è necessario compiere svariati tentativi con la complicità di chi possiede lo smartphone o la violenza, e a questo punto qualsiasi sensore biometrico può fallire nel suo incarico.

Da segnalare inoltre che dopo cinque tentativi lo smartphone blocca i tentativi d'accesso con Face ID e richiede in ogni caso la password, quindi un eventuale aggressore ha la necessità di realizzare una maschera efficace senza troppe possibilità di errore. Insomma, come abbiamo detto le scorse settimane si tratta di un hack pericoloso soprattutto per celebrità ed esponenti effettivamente a rischio, ma più che sicuro per la stragrande maggioranza degli utenti.