آسیب پذیری جدید در سیستم تشخیص چهره

امروزه همه کاربران به دنبال راهکارهایی هستند که بتوانند از شر حفظ کردن و وارد کردن گذرواژه‌های طولانی و پیچیده برای حساب‌های کاربری یا ابزارهای مختلفی مثل گوشی‌ها، تبلت‌ها و حتی رمز عبور از مکان‌های مهم (دفتر کار و …) راحت شوند. همین مسئله سبب شده است که راهکارهای مختلفی برای احراز هویت افراد از طریق اطلاعات زیست‌متری یا Biometric ارائه شود. بدین ترتیب، بجای وارد کردن اطلاعات از طریق صفحه کلید، کاربران با استفاده از اسکن اثر انگشت، چهره، و … می‌توانند هویت خود را تائید کنند.

در ابتدا به نظر می‌رسید این ابزارها امنیت بسیار بالاتری را به همراه خواهند داشت، ولی زمانی که این راهکارها وارد بازار شدند، نتیجه چندان رضایت بخش نبود. گزارشهایی که از دور زدن اثرانگشت گوشی‌های مختلف (سامسونگ و نوکیا و …) و فریب خوردن سیستم تشخیص چهره (سامسونگ ) شنیده شد، حاکی از وجود نقطه ضعف‌های فنی در بکارگیری این ابزار است.

نقطه ضعف تشخیص “زنده بودن”

یکی از جدیدترین آسیب‌پذیری‌هایی در که فرایند احرازهویت زیست‌متری کشف شده است به هکرها اجازه می‌دهد برنامه‌های مختلف تشخیص چهره از جمله FaceID اپل را دور بزنند.

برای درک بهتر این نقطه ضعف، محققان ویژگی‌های پشت‌پرده فناوری زیست‌متری -که “زنده بودن” نامیده می‌شود و بخشی از فرایند احرازهویت زیست‌متری است- را بررسی کردند. این مشخصه در احراز هویت زیست‌متری، ویژگی‌ها و خصوصیات واقعی را از موارد جعلی تشخیص می‌دهد و صداهای پس‌زمینه، پاسخ‌های تحریف‌شده و تاری فوکوس را نیز کنترل می‌کند.

استفاده از عینک برای گول زدن سیستم تشخیص چهره

محققان در کنفرانس Black Hat USA 2019  با تشریح آسیب‌پذیری گفته شده، یادآور شدند که هکرها می‌تواند با دستکاری در عینک قربانی قفل گوشی وی را باز کرده و سیستم تشخیص چهره FaceID را دور بزنند.

این کار به راحتی و با چسباندن یک نوارچسب با طراحی خاص روی شیشه‌های عینک و قرار دادن آن روی چهره قربانی انجام می‌شود. البته انجام این حمله کارآسانی نیست و هکرها باید بدانند که چگونه عینک را روی صورت قربانی قرار دهند که او از خواب بیدار نشود.

محققان برای امتحان این مسئله روی FaceID، عینکهایی به‌نام “X-glasses” ساخته‌اند. بدین ترتیب که روی شیشه‌های یک عینک معمولی نوارچسبی سیاه قرار دادند که نقطه سفیدی درون این نوار سیاه قرار گرفته است. این ترفند بسیار ساده، کم هزینه، سریع و قابل اجرا روی همه قربانیان است.

سپس با قراردادن عینک فوق روی صورت شخصی که در خواب بود توانستند تلفن‌همراه وی را باز کنند و به برنامه‎‌های پرداخت موبایلی مالی وی دسترسی پیدا کنند. این بررسی ثابت کرد که از این طریق مکانیزم تشخیص FaceID و سایر فناوری‌های مشابه به راحتی قابل نفوذ می‌شود.

با وجود این نقطه ضعف در احراز هویت زیست‌متری و افزایش قابلیت کلاهبرداری از طریق هوش‌مصنوعی، ویژگی “زنده بودن” به پاشنه آشیل یا نقطه آسیب‌پذیر امنیت احرازهویت زیست‌متری تبدیل شده است.

تا پیش از این، دور زدن سیستم‌های زیست متری، بر اساس ایجاد داده‌های جعلی متمرکز بود، که با استفاده از روش‌های مختلفی از جمله سرقت اثرانگشت قربانی، درگیر کردن چندین بخش متحرک و تولید صدا و تصویر جعلی تشکیل شده است.

اما در این روش که احراز هویت با در نظرگرفتن “زنده بودن” اعمال می‌شود، زمانی که  شخص در خواب عمیق فرورفته است  یا هوشیار نیست، شیادان با استفاده از یک عینک و قرار دادن آن روی صورت وی، احراز هویت را پشت سر می‌گذارند.

نحوه تشخیص “زنده بودن” از روی چشم‌ها

محققان در بررسی‌های خود متوجه شدند که دستگاه برای تشخیص زنده و هوشیاربودن شخص به یک نقطه سیاه (مردمک چشم) و یک نقطه سفید (عنبیه) نیاز دارد و اگر کاربری عینک داشته باشد روشی که برای اسکن چشم‌ها بکار می‌رود تغییر می‌کند.

بسیاری ابزارها از جمله FaceID برای سهولت کاربران، در صورت استفاده از عینک هم امکان تشخیص چهره را فراهم می‌کنند ولی عملا زمانی که عینک وجود دارد اطلاعات سه‌بعدی از محدوده چشم کاربر استخراج نمی‌شود.

این حمله با اشکالاتی نیز مواجه است اول اینکه قربانی باید در خواب عمیق یا بیهوش باشد و هنگامی که عینک روی صورت او قرار داده می‌شود بیدار نشود.