Rozpoznávání tváře se snadno hraje

Na bezpečnostní akci bylo prokázáno, že technologie rozpoznávání tváře používané na některých noteboocích lze velmi snadno oklamat a obejít.

V poslední době uvedlo několik výrobců notebooků na trh notebooky, které pomocí funkcí rozpoznávání obličeje usnadňují přihlašování do operačního systému a ověřování. Tato řešení jsou navržena tak, aby proces přihlašování byl pohodlnější, aby uživatel při používání systému Windows nemusel zadávat své jméno a heslo. K tomu stačí majiteli notebooku nahlédnout do integrovaného fotoaparátu, který pořídí fotografii a porovná ji s dříve uloženou fotografií. Pokud dojde k shodě, je uživatel ověřen automaticky. To znamená, že tyto systémy jsou opravdu pohodlné a rychle se používají. Ale jaké zabezpečení poskytují? Jednou ze zajímavých prezentací na konferenci Black Hat je, že situace není příliš růžová.

Nguyen Minh Duc, výzkumný pracovník společnosti Bkis (Bach Khoa Internetwork Security Center), přednesl speciální prezentaci zaměřenou na upozornění na slabé stránky řešení rozpoznávání obličeje zabudovaných do notebooků. Expert během prezentace testoval systém Lenovo Veriface III, software ASUS Smart Logon a technologii Toshiba Face Recognition. Minh Duc zvolil velmi jednoduchý způsob, jak prorazit řešení rozpoznávání obličejů tím, že před kamery umístil tištěné obrázky, které nedokázaly rozlišit skutečné a digitalizované tváře, takže se příležitostný hacker mohl snadno přihlásit do systému Windows. Jeden systém navíc mohl být oklamán i černobílými fotografiemi. U řešení Toshiba musel být použit malý trik, který monitoruje pohyb tváře během ověřování. Aby však technologii obešel, stačilo Minh Ducovi při odbavení čas od času přesunout fotografii do ruky.

Podle odborníka je zranitelnost systémů rozpoznávání obličeje zabudovaných do notebooků dána technologiemi za nimi a lze jej vysledovat až ke slabosti algoritmů, které nedokážou rozeznat skutečnou tvář od fotografie. Minh Duc tvrdil, že již na problém upozornil výrobce a povzbudil je, aby přehodnotili používání rozpoznávání tváře pro bezpečné přihlášení, dokud nebudou chyby opraveny.

Mluvčí Lenovo nezpochybnil objev Minh Duc. Řekl, že uživatelé by měli zvážit volbu pohodlného a rychlého rozpoznávání tváří, nebo raději zůstat u hesel, která poskytují vyšší stupeň zabezpečení - složité a dlouhé - a používat čtečky otisků prstů. Poté dodal, že VeriFace monitoruje pohyb očí, aby bylo možné rozeznat skutečnou tvář od fotografie.