¿Qué tan seguro es el reconocimiento facial de Android?

Navega tus respuestas
19

Android admite el uso de reconocimiento facial para desbloquear el teléfono. ¿Qué tan seguro es ese mecanismo?

Por ejemplo, si alguien tiene una imagen de buena calidad de su rostro, ¿puede derrotar el esquema de reconocimiento facial levantando la imagen al teléfono? ¿El mecanismo de Android incluye algún método para probar la "vida" (es decir, que hay una persona viva presente, no solo una imagen de la persona)?

Recuerdo haber visto una sesión de grupa que describió un ataque al desbloqueo de reconocimiento facial de Android. El ataque funcionó iniciando una imagen de la cara del usuario. Luego hicieron una copia de la imagen y usaron Paint para modificarla, de modo que los ojos del usuario parecían estar cerrados (pintando el color de la piel sobre los ojos para simular los párpados cerrados). Finalmente, mostraron estas imágenes en la pantalla de una computadora, alternando entre ellas en una secuencia diseñada para parecer que la persona estaba parpadeando, y apuntaron el teléfono a la pantalla de la computadora. Si lo comprendo correctamente, esto tenía la intención de anular algunas pruebas de vida (donde el teléfono detecta la vida en función del parpadeo). Los oradores afirmaron que este ataque funcionó, pero no recuerdo más detalles. ¿Este ataque sigue funcionando (si es que alguna vez lo hizo) en los teléfonos con Android? O, ¿hay otros ataques conocidos?

Esto es lo que he leído hasta ahora. Ice Cream Sandwich (Android 4.0) introdujo FaceLock. Jelly Bean (Android 4.1.1) introdujo un "Liveness Check", que busca que tus ojos parpadeen . He encontrado reclamaciones que sin Liveness Check, FaceLook se puede omitir al sostener una imagen estática y que el Verificador de vitalidad puede ser derrotado mediante el truco descrito anteriormente. (Aquí hay un video que muestra el ataque.) Hace esto ¿seguirá funcionando? ¿Hay otras amenazas de las que preocuparse?

    
pregunta D.W. 14.10.2013 - 08:58
fuente

3 respuestas

14

Ya has investigado lo suficiente como para ver que el reconocimiento facial en Android se puede eludir fácilmente. He leído (aunque no puedo encontrar el enlace ahora) que los investigadores pudieron derrotarlo usando la imagen de una persona de aspecto similar, ni siquiera la persona real. Cuando piensas en esto, esperar que el reconocimiento facial funcione en un dispositivo con recursos limitados, y cuando se espera que funcione en una fracción de segundo, es una tarea difícil. Estoy seguro de que eventualmente llegará allí, pero por ahora no es fuerte.

Creo que antes de que lo descartes por completo, deberías considerar qué es lo que estás tratando de proteger. La mayoría de los teléfonos son robados con el propósito expreso de ser vendidos en el mercado negro y no por la información que contienen. La mayoría se borra sin que nadie intente obtener datos de ellos. Dado que un ladrón necesitaría obtener de alguna manera una imagen de calidad de su víctima en la postura correcta para poder desbloquear el teléfono, parece probable que el reconocimiento facial sea una seguridad "suficiente" para muchas personas, ya que eleva la barra de dificultad. suficientemente.

Si un atacante realmente quiere acceder al teléfono de alguien y tiene el tiempo y los recursos para obtener una fotografía del propietario, el reconocimiento facial no impedirá el acceso. Entonces, si tiene información en su teléfono que alguien realmente quisiera, o si tiene el deber de protegerla, no use el reconocimiento facial. Si su teléfono no tiene nada de interés, ¿por qué no usarlo?

    
respondido por el GdD 14.10.2013 - 10:05
fuente
3

El reconocimiento facial está francamente sobrevalorado. Es una especie de retroceso a Hollywood.

Para mí las principales debilidades son:

  • Muchas formas, como se señaló, pueden ser derrotadas por imágenes estáticas
  • Incluso los formularios que verifican el parpadeo pueden fallar en un video bien preparado generado a partir de una imagen estática
  • Los formularios que protegen contra imágenes estáticas y videos son de autenticación lenta, lo que sería muy inadecuado para la electrónica de consumo como los dispositivos Android.
  • Es demasiado fácil forzar a alguien a desbloquear (por ejemplo, mediante una videollamada), por lo que no es adecuado para aplicaciones de alta seguridad.
  • No permite ninguna ruta fácil a un sistema de acceso por coacción, mientras que una contraseña de coacción, un pin, etc. son comparativamente fáciles de implementar.

Para mí, es un buen truco para un teléfono, pero todo es un poco "Mi voz es mi pasaporte, verifíqueme" seguridad de estilo: un poco romántica, y no se debe sobreestimar. Es una opción de seguridad baja en el mejor de los casos.

Sin embargo, podría formar un buen factor adicional para la autenticación, si se considera bien para cualquier aplicación. Como todo en seguridad, es una cuestión de la solución correcta para el problema correcto. No aseguraría mi casa con ella, pero podría asegurar mi refrigerador con ella;)

    
respondido por el Owen 16.10.2013 - 18:20
fuente
1

El reconocimiento facial de Android es más seguro que el famoso 

1234
0000
...

contraseñas.

Es más débil que cualquier otra forma de contraseñas de números de 4 posiciones.

Por otra parte, es un riesgo importante porque amplifica la exposición ya pública de una imagen personal, creando así una superficie de ataque más grande (donde estaba). No es vital en absoluto: Facebook es un líder en este campo). Por lo tanto, como todas las técnicas biométricas, esta es una mejora de riesgos .

    
respondido por el daniel Azuelos 16.10.2013 - 12:25
fuente

Lea otras preguntas en las etiquetas

¿Es SOCKS seguro? Biometría versus otros mecanismos de autenticación de dos factores