Il riconoscimento facciale si può ingannare con le foto di Facebook

Il riconoscimento facciale si può ingannare con le foto di Facebook

Dimostrazione di un gruppo di ricercatori nel campo della computer vision: tramite le foto recuperabili sui social network è possibile modellare un volto virtuale tridimensionale capace di trarre in inganno molti sistemi consumer di face recognition

di pubblicata il , alle 09:31 nel canale Sicurezza
 

I sistemi di autenticazione basati sul riconoscimento facciale hanno iniziato a diffondersi da qualche tempo nei dispositivi consumer come portatili e smartphone e Google ha anche annunciato l'intenzione di inserire nei propri smartphone chip dedicati di image recognition che possano essere usati anche a tale scopo. E' tuttavia la stessa Google ad aver osservato varie volte che il proprio sistema di riconoscimento facciale "Face Unlock" prima e "Trusted Face" poi è "meno sicuro di un PIN, un pattern o una password".

Oltre all'ovvia osservazione che due individui molto somiglianti (come ad esempio una coppia di gemelli) possono facilmente trarre in inganno un sistema di riconoscimento facciale, è opportuno considerare che con l'evoluzione delle tecnologie di computer vision e computer imaging vi sia la ricerca di nuove tipologie di attacco per violare questa particolare tipologia di sistemi di autenticazione biometrica.

In occasione della Usenix Security Conference di Austin della scorsa settimana, i ricercatori dell'University of North Carolina hanno presentato un sistema che sfrutta modelli tridimensionali renderizzati basati su fotografie pubblicamente disponibili e mostrati tramite un sistema basato su tecnologia di realtà virtuale mobile. Un volto renderizzato in tre dimensioni è in grado di mostrare il movimento e quei tratti somatici distintivi che i sistemi di riconoscmento facciale vanno cercando. I ricercatori hanno usato uno smartphone per mostrare il volto renderizzato.

L'attacco, che è riuscito ad ingannare con successo quattro dei cinque sistemi testati, rappresenta un campanello d'allarme per l'autenticazione d'identità tramite sistemi biometrici: in linea di massima le caratterstiche fisiche di un individuo sono costanti, motivo per il quale se vengono compromesse o sono pubblicamente disponibili possono essere sfruttate a scopo di dolo.

In precedenza altri gruppi hanno condotto una ricerca simile sulla violazione di sistemi di riconoscimento facciale ma, a differenza degli studi condotti dall'UNC, sono state usate fotografie che i ricercatori hanno scattato ai partecipanti allo studio o che questi ultimi hanno fornito direttamente. Nel caso della ricerca dell'UNC, invece, sono state recuperate fotografie presenti sul web dei 20 volontari che hanno partecipato, individuate tramite motori di ricerca di immagini, fotografie professionali e tutte le risorse pubblicamente disponibili sui principali social network.

"Usare le foto online dei partecipanti è qualcosa di spaventoso. Non è possibile controllare sempre la propria presenza o la propria immagine online" osserva True Price, autore dello studio ed esperto di computer vision presso l'UNC. Price sottolinea inoltre che molti dei partecipanti allo studio sono essi stessi ricercatori in ambito informatico e proattivamente impegnati nella protezione della propria privacy online. Nondimeno è stato possibile trovare da 3 a 27 foto per ciascun volontario.

I volti virtuali sono stati usati per mettere alla prova i sistemi di autenticazione di KeyLemon, Mobius, TrueKey, BioID e 1U, tutti disponibili su Google Play Store e Apple App Store come mezzo per proteggere informazioni o bloccare e sbloccare lo smartphone. Utilizzando i volti elaborati tramite le fotografie trovate online, i ricercatori sono stati in grado di ingannare 4 dei 5 sistemi con un tasso di successo dal 55% all'85%. I soggetti sono stati poi fotografati in ambiente controllato, cosa che ha permesso di ingannare tutti e cinque i sistemi in tutti i casi testati.

La parte più complessa è stata comunque applicare ai volti modellati tridimensionalmente la giusta texture estrapolata dalla miglior fotografia disponibile (considerata come il miglior compromesso tra risoluzione, illuminazione e posa del soggetto). "Ottenere un volto correttamente modellato non è difficile, ma applicare la texture ai volti è stato un po' più complicato e stiamo cercando di risolvere i problemi con illuminazioni differenti" ha spiegato Price. L'ultimo passo per ciascun rendering è la correzione degli occhi, così che sembrino guardare direttamente nella fotocamera per l'autenticazione. A questo punto i volti virtuali sono pronti per essere opportunamente animati per mostrare sorrisi, battiti di palpebre e movimenti espressivi: tutti elementi che i sistemi di autenticazione basati sul riconoscimento facciale vanno ricercando per verificare che non si tratti di un'immagine statica.

I ricercatori dell'UNC sono comunque concordi nell'osservare che sarebbe possibile difendersi contro attacchi di questo tipo, ad esempio inserendo nei sistemi di riconoscimento facciale appositi accorgimenti per rilevare le emissioni infrarosse del corpo umano, che non sarebbe ovviamente possibile riprodurre da un sistema VR. Ciò implica tuttavia l'impiego di sensori ed elementi hardware specifici che potrebbe essere complicato implementare sui dispositivi consumer e mobile, dove lo spazio per la componentistica è sempre molto limitato. Inoltre l'aggiunta di un componente hardware ha sempre delle implicazioni sul binomio costo-beneficio: chi produce i dispositivi dovrà valutare se vi sia una sufficiente domanda da parte dei consumatori e un effettivo beneficio per aggiungere componenti specializzati come fotocamere ad infrarosso o proiettori di luce.

Gli autenticatori biometrici covano il potenziale di essere sistemi di sicurezza estremamente potenti, ma che possono rivelarsi fallaci quando gli attaccanti hanno la possibilità di accedere in maniera semplice ad una serie di dati personali. Lo scorso anno un attacco all'United States Office of Personnel Management (l'agenzia che si occupa di gestire il personale governativo USA) ha portato alla sottrazione delle impronte digitali di 5,6 milioni di persone, che saranno così per sempre alla mercé dei malintenzionati, compromettendo quindi la possibilità per le vittime di usare efficacemente sistemi di sicurezza biometrica basati su questo tipo di informazione. Tutto questo, assieme allo studio dei ricercatori UNC, sottolinea quanto sia ambigua l'autenticazione biometrica: quando le impronte digitali, o il volto, sono liberamente disponibili e sfruttabili non esiste nulla di comparabile ad un meccanismo di ripristino di una password.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
djfix1323 Agosto 2016, 11:27 #1
quindi sarà sperimentabile anche l'accesso tramite iride del Note 7 con una fotografia messa davanti...
SpyroTSK23 Agosto 2016, 11:56 #2
Scusatemi, ma che cazzo di articolo è?
E' come fare un'articolo dicendo "L'ebollizione dell'acqua si può fermare spegnendo il fuoco"
Alfhw23 Agosto 2016, 13:59 #3
Originariamente inviato da: djfix13
quindi sarà sperimentabile anche l'accesso tramite iride del Note 7 con una fotografia messa davanti...

Basta usare come riconoscimento facciale la foto del proprio pisello... Se non sei un porno attore sei al sicuro. Quando vuoi sbloccare lo smartphone basta infilarlo un secondo nelle mutande e sei a posto. Avrai anche l'ulteriore vantaggio che nessun vorrà mai toccare il tuo smartphone.

Scherzi a parte è inquietante che l'anno scorso l'agenzia che si occupa di gestire il personale governativo USA abbia subito una sottrazione delle impronte digitali di 5,6 milioni di persone!
emiliano8423 Agosto 2016, 16:01 #4
Originariamente inviato da: djfix13
quindi sarà sperimentabile anche l'accesso tramite iride del Note 7 con una fotografia messa davanti...


non penso, se usa il riconoscimento dell'iride come gia' da tempo si fa' su Lumia e vari device windows 10, non basta una foto
sbazaars23 Agosto 2016, 16:03 #5
Credo che dipende dalla tecnologia. certo che se si rivela vero diventa una bella fregatura...
danylo23 Agosto 2016, 19:42 #6
Ho sempre considerato il rinonoscimento biometrico come una comodita', non una maggiore sicurezza.
Inoltre se ti rubano la password la puoi cambiare, i dati biometrici no.
Eress24 Agosto 2016, 02:37 #7
Originariamente inviato da: Alfhw
Basta usare come riconoscimento facciale la foto del proprio pisello...

Magari sarebbe più adatto il didietro

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^