Xakep #305. Многошаговые SQL-инъекции
Простые пользователи, эксперты и СМИ обнаружили, что флагманский смартфон Samsung Galaxy S10 не слишком хорошо справляется с распознаванием лиц. Оказалось, что обмануть устройство можно при помощи обычной фотографии или видео.
К примеру, журналистам издания The Verge и команде YouTube-канала Unbox Therapy удалось обойти функцию Face Unlock с помощью старого трюка: видеоролика с лицом владельца устройства. Итальянским специалистам из SmartWorld и вовсе хватило простой фотографии. Демонстрацию обеих проблем можно увидеть ниже.
Хуже того, известная исследовательница и блогер Джейн Вонг (Jane Wong) сообщила, что флагман Samsung плохо различает родственников: ей удалось разблокировать смартфон брата своим лицом. В Twitter Вонг недоумевает, что они с братом даже не настолько похожи.
Apparently S10+ thinks we look the same
— Jane Manchun Wong (@wongmjane) March 9, 2019
But we don't...? pic.twitter.com/COAS9QJodK
Впрочем, стоит отметить, что Samsung честно предупреждает пользователей о том, что распознавание лиц априори считается менее надежной защитой, и устройство может «не узнать» своего владельца, если тот снял очки или нанес «тяжелый» макияж. При этом Face Unlock также может «обознаться» приняв за владельца устройства человека, похожего на него.
Также нужно сказать, что о проблемах и потенциальной ненадежности различных биометрических систем давно говорят ИБ-специалисты. К примеру, в начале текущего года голландская некоммерческая организация Consumentenbond опубликовала результаты исследования 110 смартфонов различных производителей. Оказалось, что 42 устройства из этого списка можно с легкостью обмануть, показав им качественную фотографию владельца.
Кроме того, ранее исследователи демонстрировали обход системы распознавания лиц и сканера радужной оболочки глаза Samsung Galaxy S8; обманывали iPhone X при помощи маски за 150 долларов; вводили в заблуждение различные Android-смартфоны, используя голову, распечатанную на 3D-принтере (такой же метод сработал и против защиты Windows 10). И даже более сложные биометрические системы, например, использующие аутентификацию по рисунку сосудов, тоже неидеальны: в конце 2018 года эксперты продемонстрировали, что такие системы может обмануть восковой слепок руки, совмещенный с фотографией, сделанной SLR-камерой без ИК-фильтра.