web-dev-qa-db-fra.com

La reconnaissance faciale d'Android est-elle sécurisée?

Android prend en charge l'utilisation de la reconnaissance faciale pour déverrouiller votre téléphone. Dans quelle mesure ce mécanisme est-il sûr?

Par exemple, si quelqu'un a une image de bonne qualité de votre visage, peut-il déjouer le schéma de reconnaissance faciale en tenant l'image sur le téléphone? Le mécanisme Android Android comprend-il une méthode de test de la "vivacité" (c'est-à-dire qu'il y a une personne vivante présente, pas seulement une photo de la personne)?

Je me souviens d'avoir vu une session de croupe qui décrivait une attaque sur le Android déverrouillage de la reconnaissance faciale. L'attaque a fonctionné en commençant une image du visage de l'utilisateur. Ensuite, ils ont fait une copie de l'image et utilisé Paint pour le modifier afin que les yeux de l'utilisateur semblent fermés (en peignant la couleur de la peau sur les yeux pour simuler les paupières fermées). Enfin, ils ont affiché ces images sur un écran d'ordinateur, en alternant entre elles dans une séquence conçue pour ressembler à la personne qui clignait des yeux et pointé le téléphone vers l'écran de l'ordinateur. Si je comprends bien, cela visait à déjouer un test de vivacité (où le téléphone détecte la vivacité sur la base d'un clignotement). Les haut-parleurs ont affirmé que cette attaque avait fonctionné, mais je ne me souviens plus Cette attaque fonctionne-t-elle toujours (si elle a déjà fonctionné) sur les téléphones Android? Ou existe-t-il d'autres attaques connues?

Voici ce que j'ai lu jusqu'à présent. Sandwich à la crème glacée (Android 4.0) a introduit FaceLock. Jelly bean (Android 4.1.1) a introduit un "Liveness Check", qui vérifie que vos yeux clignotent . J'ai trouvé prétend que sans vérification de la vivacité, FaceLook peut être contourné en affichant une image statique et que la vérification de la vivacité peut être vaincue grâce à l'astuce décrite ci-dessus. (Voici ne vidéo montrant l'attaque.) Est-ce que cela fonctionne toujours? Y a-t-il d'autres menaces à craindre?

authenticationmobileandroidbiometricssmartphone
19
D.W.

Vous avez déjà fait suffisamment de recherches pour voir que la reconnaissance faciale sur Android est facilement contournée. J'ai lu (bien que je ne trouve pas le lien maintenant) que les chercheurs ont pu la vaincre en utilisant l'image d'une personne d'apparence similaire, pas même de la personne réelle. Quand on y pense, s'attendre à ce que la reconnaissance faciale fonctionne sur un appareil aux ressources limitées, et quand on s'attend à ce qu'il fonctionne en une fraction de seconde, c'est une tâche difficile. Je suis bien sûr, il finira par y arriver, mais pour l'instant ce n'est pas fort.

Je pense qu'avant de l'exclure complètement, vous devez considérer ce que vous essayez de protéger. La plupart des téléphones sont volés dans le but exprès d'être vendus sur le marché noir et non à des fins d'information. La plupart sont effacés sans que personne n'essaye même de leur retirer des données. Étant donné qu'un voleur devrait en quelque sorte obtenir une image de qualité de sa victime dans la bonne pose afin de pouvoir déverrouiller le téléphone, il semble probable que la reconnaissance faciale serait une sécurité "assez bonne" pour de nombreuses personnes car elle soulève la barre de difficulté suffisamment.

Si un attaquant veut vraiment avoir accès au téléphone de quelqu'un et a le temps et les ressources pour obtenir une photo du propriétaire, la reconnaissance faciale ne va pas empêcher l'accès. Donc, si vous avez sur votre téléphone des informations que quelqu'un voudrait vraiment, ou si vous avez le devoir de protéger les informations qu'il contient, n'utilisez pas la reconnaissance faciale. Si votre téléphone n'a rien d'intéressant, alors pourquoi ne pas l'utiliser?

14
GdD

La reconnaissance faciale est franchement surestimée. C'est quelque chose d'un retour à Hollywood.

Pour moi, les principales faiblesses sont:

  • De nombreuses formes, comme indiqué, peuvent être vaincues par des images statiques
  • Même les formulaires qui vérifient le clignotement peuvent parfois échouer dans une vidéo bien préparée générée à partir d'une image statique
  • Les formulaires qui protègent à la fois des images statiques et de la vidéo sont lents à s'authentifier, ce qui serait très inapproprié pour les appareils électroniques grand public comme les appareils Android Android.
  • Il est un peu trop facile de forcer quelqu'un à déverrouiller (par exemple, à l'aide d'un appel vidéo), donc inadapté aux applications de haute sécurité.
  • Il ne permet aucun itinéraire facile vers un système d'accès sous contrainte, alors qu'un mot de passe sous contrainte, une épingle, etc. sont tous relativement faciles à mettre en œuvre.

Pour moi, c'est un joli gadget sur un téléphone, mais c'est un peu la sécurité de style "Ma voix est mon passeport, vérifiez-moi" - un peu romantique, et ne devrait pas être surestimée. C'est au mieux une option de faible sécurité.

Il pourrait cependant constituer un facteur supplémentaire de Nice pour l'authentification, s'il est bien considéré pour n'importe quelle application. Comme tout ce qui concerne la sécurité, il s'agit de trouver la bonne solution pour le bon problème. Je ne sécuriserais pas ma maison avec ça, mais je pourrais sécuriser mon frigo avec ça;)

3
Owen

La reconnaissance faciale d'Android est plus sûre que la célèbre

1234
0000
...

mots de passe.

Il est plus faible que toute autre forme de mot de passe à 4 positions.

De plus, c'est un risque majeur car il amplifie l'exposition déjà publique d'une image personnelle, créant ainsi une plus grande surface d'attaque (là où ce n'était pas du tout vital: Facebook est un leader dans ce domaine). Par conséquent, comme toutes les techniques biométriques, c'est un
amélioration des risques.

1
dan