베트남 하노이에 위치하는 회사 Bkav는 애플 Face ID의 보안을 2D 이미지와 3D 프린팅으로 뚫었다고 발표하였습니다.
이 마스크의 제작비용은 150달러라고 합니다.
아래는 이 회사의 질문답변중 일부입니다
Q1 : Face ID는 어떻게설정되었습니까?
A1 : 평상시처럼 실제 얼굴로 등록되었습니다
Q2 : 실제 얼굴을 새로 등록한 직후 마스크를 사용하여 iPhone 잠금을 해제 할 수 있었습니까
A2 : 학습을 거치지 않았습니다.
Q3 : 3D 생성 및 인쇄가 어렵습니까?
A3 : 아닙니다. 3D 마스크를 만들려면 Sony XZ1과 같은 3D 스캐닝 기능이 탑재 된 스마트 폰에서 카메라를 사용하거나 3D 스캐너가 은밀하게 배치되는 방 안으로 대상을 유도하는 등 몇 가지 방법으로 가져올 수 있습니다.
https://www.phonearena.com/news/Security-firm-beats-Face-ID-with-a-mask_id99744
생체 감지는 무엇으로 했다는 말이냐 ㅜㅜ
눈꺼풀에 눈그림 그려도 뚫린다는 클리앙 유저분의 후기 듣고 좀 불안하긴 했는데... 정교한 마스크에 뚫리다니
그나저나 요즘은 조작논란 방지를 위해 거울방에서 촬영하는 게 기본인가보군요
일반인이 범죄에 접근하는 범위가 금액은 아닌것 같습니다만?
무안하게 만드네요. 뭐 한단계 더 작업이 필요하기는 하지만.
대략 눈꺼풀에 눈 그려도 통과가 된것 감안하면
석고상이나 마네킹정도에 증명사진을 위처럼 잘 붙이면 통과가 가능해 보이네요...
(유튜브로 돈 벌 생각이라면 한번 도전해 보세요. 성공하면 조회수 대박일겁니다.)
훨씬 귀찮은 방식이긴 합니다.
이거나저거나 저는 패턴락 정도라고 보지만요.
심각한 보안용도로 쓸 수 있는 물건은 아닌걸로 보입니다.
눌꺼풀위에 눈을 그린다고 통과가 가능할까요.
그냥 사진도 아닌 검정색으로 눈꺼풀위에 눈그림을 손으로 그려도 통과가 되었습니다.
생각만큼 그리 촘촘하고 정밀한 느낌이 아님니다.
생각보다 지문인식 보안성이 별로구나... 겨우 5만분의1이라니
지문이 영문숫자조합 핀번호 4자리보다 못하다는건 저때 처음 알았어요
핀번호는 타이핑 몇번 하면 되지만, 생체인식은 그 모델을 인식가능한 형태로 만들어서 제시해야 하니...
/Vollago
X 사게되면 한번쯤 해보고 싶네요
1. 3D 안면 스캐너가 있어야 함
2. 3D 프린터가 있어야 함
3. 상대의 아이폰을 훔쳐야 함
4. 동시에 상대의 얼굴도 스캔해야 함
5. 정교하게 굴곡을 맞춰 제작해야 함
6. 각종 부위를 프린팅해 정교하게 맞춰야함
7. 될때까지 시도해야 함
그리고 주인이 원격 잠금 명령(분실모드)을 보내면 이 모든게 수포로 돌아갑니다
5. 정교하지 않아도 됨
6. 정교하지 않아도 됨
...
해상도 200x150이라는 말도 있어요 그래서 3만점..
via ClienKit2 Beta
Q: Can you explain why your hack worked but similar attempts (like Wired magazine's) failed?
A: Because... we are the leading cyber security firm ;) It is quite hard to make the "correct" mask without certain knowledge of security. We were able to trick Apple's AI, as mentioned in the writing, because we understood how their AI worked and how to bypass it. As in 2008, we were the first to show that face recognition was not an effective security measure for laptops (related links can be found at the end of this writing).
Q: Is 3D creation and printing difficult?
A: No. To create a 3D mask, you can use camera on smartphones that are equipped with 3D scanning capability like Sony XZ1, or by some ways have the target come into a room where a 3D scanner is secretly put. A more simple way is photograph-based, artists shall craft a mask from such photos.
본문의 업체 의견 이겠지만
답변을 보면 노하우만 있으면 만들기가 어렵진 않다는 답변으로 보여서요
via ClienKit2 Beta
via ClienKit2 Beta
/Vollago
특수상황이 아니라 일반적인 상황에서 충분히 구할수 있다는겁니다
본문 A3..
Q: Can you explain why your hack worked but similar attempts (like Wired magazine's) failed?
A: Because... we are the leading cyber security firm ;) It is quite hard to make the "correct" mask without certain knowledge of security. We were able to trick Apple's AI, as mentioned in the writing, because we understood how their AI worked and how to bypass it. As in 2008, we were the first to show that face recognition was not an effective security measure for laptops (related links can be found at the end of this writing).
Q: How did Bkav develop the mask (for example why you use silicone for the nose, why 3D printing for some areas while special processing for others, etc.)?
A: You are right. Many people in the world have tried different kinds of masks but all failed. It is because we understand how AI of Face ID works and how to bypass it. As stated above, we were the first in the world to show that face recognition was not an effective security measure for laptops.
답변을 보다보면 마스크를 제작하는데는 특별한 노하우가 필요한것 같습니다.
그리고 해당 보안업체는 지문인식이 가장 안전하다고 적어놓았네요
via ClienKit2 Beta
A: We used a popular 3D printer. Nose was made by a handmade artist. We use 2D printing for other parts (similar to how we tricked Face Recognition 9 years ago). The skin was also hand-made to trick Apple's AI.
3d 프린터'만' 가지고는 어렵나보군요. 그래도 아무튼 누군가가 맘만 먹으면 시간과 돈을 들여서 애플이 장담한 것 보다는 쉽게 뚫을 수 있는 것 같습니다...
터치아이디가 더 뚫리기쉽다는 댓글들은 왜달리는거에요??????
뭔가 애타게바라는거 같네요
스티브잡스가 그립네요..
지문인식을 추가할 때도 그 보안성이 패턴잠금이나 4자리 숫자 핀넘버 수준이거나 그보다 낫기만 하면 되니 상대적으로 쉽게 복제할 수 있는 지문인식이라도 지금까지 잘 사용해 온 거죠.
왜냐면 일반사용자 폰에 굳이 그사람 지문을 떠와서 복제하는 첩보물을 찍으면서까지 빼내올 정보가 없으니까, 혹시 내 지문을 누가 복제해서 내 폰을 잠금해제하는 사람이 있으면 어떡하지? 하는 걱정 없이 일상적으로 폰을 지문만 가지고 잠금해제하고, 그걸로 애플페이나 은행앱도 안심하고 사용해 온 겁니다.
그런 맥락에서 보면, 아직까지 그 쉬운 지문조차도 복제해서 데이터를 훔치거나 돈을 빼낸 사기 사례조차 한 건도 보고되지 않은 마당에 누가 내 안면을 3D로 나몰래 스캔해서 그걸로 내 페이스아이디를 뚫고 데이터를 훔쳐가면 어떡하지? 같은 걱정은 넘나 기우라는 얘기죠.
???: "스토어 안 세워줘도 반응이 넘 좋은 걸?? 스토어는 서울에 1개만 짓는 걸로 하지..."
지문은 그 특성상 직접 물컹한 소재를 손에 들이 밀지 않으면 쉽게 복제가 불가능한데 일상적 조건에서는 그런걸 만질 상황이 드물고 만지게 되면 부자연스럽고 눈치 채기 쉽죠..
근데 위 같은 경우는 무료로 사용 가능한 PC 한대만 배치하면 회득 가능하다는 이야기가 되죠.
심하면 지금 ATM기에 스캠 장치 설치하듯이 ATM에 설치 할 수도 있고요.
물론 이건 안면인식만의 문제가 아니지만 기본적으로 소비자가 의식하지 못하는 상황에서 생체 정보가 획득에 가능하고 그걸로 휴대폰의 보안을 무력화 한다는 것은 심각한 문제로 받아들여야죠.
역설적이게 복제가 가장 쉬운 지문 인식은 그 정보 획득 과정이 대체로 부자연스러울 수 밖에 없어서 획득 과정이 어렵다는게 아이러니죠...
실제 지금까지 휴대폰과 지문 정보를 모두 흠쳐서 돈을 털어낸 사례가 없다는 것만 봐도..
터치아이디 디스플레이에 넣으려다 실패한게 뻔히 보이는데, 애초부터 터치아이디는 넣을 계획이 없었고
페이스아이디가 터치아이디보다 보안이 월등히 강하다고 홍보하니...
그냥 후면에 박건, 전원버튼에 박건 터치아이디는 병행했어야 합니다.
애초에 이건 눈에 붙이면 컨텍트렌즈고 피부에 붙이면 반창고, 거기에 씌우면 CD 수준의 논리였어요.
터치아이디 처음 나왔을 때 보안률이 5만:1 이런건 언급한 적이 없었던 것 같은데? 5년전에 고작 5만:1 보안성으로 개인보안 논한 건가요? 일부로 페이스아이디 부각시키려고 터치아이디를 보안성도 없는 낡은 인증방법으로 깎아내린 겁니다.
Apple states that The Touch Id can ba hacked at a rate of 1/50000.
지금은 홈피 5s 페이지가 없어서 못찾겠는데 아마 기술자료나 소개글에 설명되있었을걸요?
페이스아이디 인식 시도가 2회에도 실패하면 무조건 핀번호로 해제, 다른 금융 앱에서도 2회 실패시 무조건 2차인증 방식으로 넘기면 됩니다. 어차피 저렇게 3d 모형을 만들어도 한방에 성공하긴 쉽지 않을테니 몇 차례 시도할 수 밖에 없는데 그 횟수가 2회만 넘어가면 바로 핀넘버 이외로는 안열리게 해버리면 됩니다. 번거로워져도 보안성 유지하는 방법은 이런식이 제일 간단하죠.
아이폰 사려고 마음 먹었던 사람들 중에, 저렇게 해서 내 아이폰이 뚫릴까봐 안 살 사람 있나요?
있긴 있겠죠.. 정보기관 사찰 대상 쯤 되는 분들이라면.
하지만 거의 대부분의 예비 구입자들은 저 이슈에 꿈쩍도 안 할겁니다.
왜 사지도 않을 사람이 남이 사는걸 조롱할 목적으로 이용하려 하나요?
공산품을 놓고 이야기 할 때 구매 여부가 그렇게 하찮은건가요?
지금까지 수 많은 단점에도 불구하고 세계에서 가장 잘 팔리는 폰이고, 많이 팔리기 때문에 이슈가 되는건데..
아이폰이 판매량 따위 상관 없는 정보기관 특화 폰으로라도 만들어진거라면 모르겠습니다만...
별거 아니라 생각하는 이유는, 생체 인식하도록 소프트웨어 튜닝만 하면 금방 막을 수 있을 것 같기 때문입니다.
내로남불 자기랑 의견다르면 종교
지금 이글에서 안보이지만 부글부글 끓는분들 적지않을거에요
보안성이 좀 헷갈립니다. 기존 터치 아이디도 나오자마자 털렸을때 걱정했었는데...암튼 반년쯤 지나면 시장이 답해주겠죠.
그냥 지문 센서에 남아있는 지문 채집한 다음에 그걸 투명 종이에 프린트해서 손가락에 붙이는 방식으로 뚫렸었죠. 실제로 법 집행 기관에서도 많이 쓰는 수법이라고 하고요.
http://www.ibtimes.co.uk/apple-iphone-5s-touch-id-fingerprint-scanner-508196
결국 골자는 뚫을려고 작정한다면 무슨 방법을 쓰던 뚫을 수 있다는 겁니다. 이러한 생체인증의 보안이 불안하다면 무조건 패스코드로 보호해야 하겠죠.
투명종이에 바로 프린트해서 뚫리지 않습니다. 그건 지문 패턴을 입체적으로 뜨기 위한 중간 단계이지 다음 단계가 또 있죠. 지문 스캐너 자체는 미세한 지문패턴 사이의 정전기를 인식해서 지문을 판독하니 그냥 납작한 프린트로는 뚫리지 않습니다.
cctv에 찍힌 얼굴 특성가지고 개인을 구별해내는 기술이 적용된 나라가 중국인걸로 알고있는데..
페이스 아이디 뚫는건 일도 아닐 것 같네요 중국 정부는 ㅋㅋ
그런 면에서는 홍채인식이 나은 면이 있겠죠.
https://www.engadget.com/2017/05/23/galaxy-s8-iris-scanner-hacked/
그리고 개인적으로도 페이스ID나 터치ID나 둘다 동일선상에 있는 기술이지.... 페이스ID(얼굴인식)가 터치ID(지문인식)보다 더 진보된 인증수단은 아니거든요.
그래서 저는 아이폰X에 터치ID를 제외하고 페이스ID를 선택하여 탑재한 부분이 마음에 안듭니다.
페이스id나 터치id나 홍채인식이나 폰을 확보해야 가능하니까요.
/Vollago
학습 후에도 비슷한 수준으로 풀린다면 보안의 신뢰성은 터치아이디보다 후퇴 했다고 생각합니다.
그런데 왜 제 아이폰은 제 지문을 점점 못읽을까요? 나이 들어 간다고 지문도 늙는건지 요즘 아이폰이 손가락만 올리면 도리도리...
/Vollago