애플(Apple) 아이폰 X (iPhone X) 마스크를 사용하여 해킹가능?

https://techcrunch.com/2017/11/13/apple-face-id-bkav-hack/

 

 

마스크를 사용하여 iPhone X의 얼굴 ID를 해킹하는 사람에 대해 걱정할 필요가 없을 것입니다.

You probably don’t need to worry about someone hacking your iPhone X’s Face ID with a mask

아이폰 X의 새로운 기함 형태의 장치 보안으로봤을 때, 페이스 ID 는 해커에게 자연스러운 목표물이다. 이 장치가 출시 된 지 불과 1 주일 만인 베트남 연구팀 Bkav  는 인쇄 된 2D 이미지와 3 차원 기능을 결합한 복제 얼굴 마스크를 사용하여 Apple의 얼굴 인식 시스템에 금이 갔다고 주장 합니다. 이 그룹은 개념 증명을 보여주는 비디오를 출간했으나 아무도이 해킹이 얼마나 합법적인지 알 수없는 질문이 남아 있습니다.

Touted as the iPhone X’s new flagship form of device security, Face ID is a natural target for hackers. Just a week after the device’s release, Vietnamese research team Bkav claims to have cracked Apple’s facial recognition system using a replica face mask that combines printed 2D images with three-dimensional features. The group has published a video demonstrating its proof of concept, but enough questions remain that no one really knows how legitimate this purported hack is.

 

아래 비디오에서 볼 수 있듯이 Bkav는 소비자 수준의 3D 프린터, 손으로 조각 한 코, 일반 2D 인쇄 및 시스템을 속이기 위해 고안된 사용자 정의 스킨 표면을 사용하여 총 150 달러의 비용으로이 문제를 해결했다고 주장합니다. .

As shown in the video below, Bkav claims to have pulled this off using a consumer-level 3D printer, a hand-sculpted nose, normal 2D printing and a custom skin surface designed to trick the system, all for a total cost of US$150.

 

 

 

 

 

TechCrunch와의 이야기에서 애플은 해킹으로 의심되는 것으로 보인다. Bkav는 우리의 질문에 아직 답하지 않고 있습니다. 그 노력이 합법적 일지라도 그 그룹은 Apple과 연구를 공유하지 않았습니다 (우리가 다시 듣게 될 때이 이야기를 업데이트 할 것입니다). 비디오가 가짜 일 수있는 몇 가지 방법이 있습니다. 가장 확실한 방법은 실제 얼굴 유사성을 나타 내기 전에 마스크 자체에 얼굴 ID를 훈련시키는 것입니다. 그리고 애플이 해커들이이 방법론을 시도 할 것이라고 결코 생각하지 않았던 것처럼 아니다. 회사 가 얼굴 ID 의 고장 에서 설명하는대로 :

For its part, in speaking with TechCrunch, Apple appears to be pretty skeptical of the purported hack. Bkav has yet to respond to our questions, including why, if its efforts are legitimate, the group has not shared its research with Apple (we’ll update this story if and when we hear back). There are at least a few ways the video could have been faked, the most obvious of which would be to just train Face ID on the mask itself before presenting it with the actual face likeness. And it’s not like Apple never considered that hackers might try this methodology. As the company explains in a breakdown of Face ID:

 

얼굴 ID는 인쇄물이나 2D 디지털 사진에서 찾을 수없는 깊이 정보와 일치합니다. 정교한 스푸핑 방지 신경 네트워크를 사용하여 마스크 또는 기타 기술로 스푸핑을 방지합니다. 얼굴 ID는주의를 기울이기조차합니다. 그것은 당신의 눈이 열리고 장치를 바라 보는지를 인식합니다. 이로 인해 다른 사람이 잠을 자고있을 때 등 모르는 사이에 iPhone을 잠금 해제하기가 ​​더 어려워집니다.

Face ID matches against depth information, which isn’t found in print or 2D digital photographs. It’s designed to protect against spoofing by masks or other techniques through the use of sophisticated anti-spoofing neural networks. Face ID is even attention-aware. It recognizes if your eyes are open and looking towards the device. This makes it more difficult for someone to unlock your iPhone without your knowledge (such as when you are sleeping).

 

Bkav의 방법은 2D 이미지 와  마스크를 모두 사용한다고 주장 합니다. Apple이 Face ID가 방어 할 수 있다고 확신하는 두 가지 전술입니다. 또한 정상적인 사용 사례에서 페이스 아이디를 사용하여 5 회 로그인 시도가 실패하면 아이폰 X가 잠길 것이라는 점을 기억해야하지만 Bkav가 얼마나 많은 시도를했는지는 확실하지 않지만 "절대적으로 엄격한 규칙 마스크를 만들 때 패스 코드가 없습니다 "라는 시나리오는 연구원이 5 회 실패한 시도 후에 암호를 입력하고 마스크 데이터를 포함하도록 장치의 교육을 확장하는 시나리오를 방지합니다.

Bkav’s method claims to use both 2D images and masks, two tactics that Apple seems pretty confident that Face ID can defend against. Also, it’s worth remembering that in a normal use case, the iPhone X would lock after five failed attempts to log in using Face ID, but it’s unclear how many tries Bkav made, though the company says it applied “the strict rule of ‘absolutely no passcode’ when crafting the mask,” a scenario that would preclude a scenario in which the researchers entered a passcode after five failed attempts and expanded the device’s training to include the mask data.

 

정교한 소비자 보안 기술에 대한 해결 방법을 듣는 것은 놀랍지 만, 일종의 마스크 해킹이 끝나도 평균 소비자에게 정확하게 적용되지는 않습니다. 누군가가 당신의 얼굴 생체 인식을 훔치기 위해 그렇게 복잡한 계획을 실행하기에 충분할만큼 악의적 인 장치를 원한다면 걱정할 필요가있을 것입니다. 이와 같은 해킹은 일상적인 사용자의 프라이버시를 위협하는 공통 분모의 가장 낮은 공통 분모 취약점과는 거리가 먼 상태 스폰서 행위자 또는 특정 목표를 가진 해킹 팀에 고용 될 가능성이 높은 상당한 시간과 자원이 필요합니다. Bkav는 해킹 에 대한 Q & A 에서이를 공개적으로 인정합니다."잠재적 인 목표는 일반 사용자가 아니지만 억만 장자, 주요 기업의 지도자, 국가 지도자 및 FBI와 같은 에이전트는 얼굴 ID의 문제를 이해해야합니다."

It’s alarming to hear of any workaround for sophisticated consumer security tech, but even if some kind of mask hack ends up working, it doesn’t exactly scale to the average consumer. If you’re concerned that someone might want into your devices badly enough that they’d execute such an involved plan to steal your facial biometrics, well, you’ve probably got a lot of other things to worry about as well. A hack like this would take considerable time and resources, the kind that are more likely to be employed by state-sponsored actors or other hacking teams with specific

targets — far from the usual lowest common denominator vulnerabilities that threaten the privacy of everyday users. Bkav admits this openly in a Q & A on its hack, noting that “Potential targets shall not be regular users, but billionaires, leaders of major corporations, nation leaders and agents like FBI need to understand the Face ID’s issue.”

 

Bkav 비디오 이전에 Wired는 Cloudflare와 협력 하여 Bkav 해킹에서 묘사 된 것보다 훨씬 정교 해 보이는 마스크를 통해 얼굴 ID를 해킹 할 수 있는지 확인 했습니다 . 현저한 노력에도 불구하고 - "진짜 안구 운동을 허용하도록 설계된 눈 구멍과 같은 세부 사항"과 "실제 머리카락처럼 보이게하려는 마스크에 삽입 된 수천 개의 눈썹 머리카락"을 포함하여 - Wired와 Cloudflare는 성공하지 못했습니다. Wired는 Bkav 해킹에 대해서도 비디오에서 수집 할 수있는 것에 대한 자체 노력을 비교했습니다.

Prior to the Bkav video, Wired worked with Cloudflare to see if Face ID could be hacked through masks that appear far more sophisticated than the ones the Bkav hack depicts. Remarkably, in spite of their fairly elaborate efforts — including “details like eyeholes designed to allow real eye movement” and “thousands of eyebrow hairs inserted into the mask intended to look more like real hair” — Wired and Cloudflare didn’t succeed. Wired also reported on the Bkav hack, comparing its own efforts against what we can glean from the video.

 

세부 사항이 150 달러 밖에 안되는 마스크로 얼굴 ID가 신빙성을 속일 수 있다고 생각한다면 건강한 회의론이 도움이 될 것입니다. 동시에 Bkav는 보안 연구 분야에서 전혀 다른 이름이 아닙니다. 회사 는 2009 년 Asus, Lenovo 및 Toshiba 얼굴 인식 기술의 약점에 대한 보고서를 발표 했으므로 분명히 이런 종류의 문제에 대해 생각해 보았습니다. 가짜 FaceID 해킹으로 잠재적 인 신뢰를 약화시킬 수있는 이유는 무엇입니까?하지만 실제로 해킹의 기술적 세부 사항을 공유하기 위해 열심히 노력합니다.

If the notion that a $150-mask with far less detail could fool Face ID strains credulity, that healthy skepticism is probably merited. At the same time, Bkav isn’t a totally random name in security research: the company published a report on weaknesses in Asus, Lenovo and Toshiba facial recognition tech back in 2009, so it’s clearly been thinking about this kind of stuff. Why it might undermine any potential credibility with a bogus FaceID hack is beyond us, but we eagerly invite the company to share additional technical details of its hack if the effort is indeed legitimate.