Фотография вместо реального лица – авторизация по лицу пользователя небезопасна // 17 Декабря 2012

Вьетнамские эксперты по безопасности из компании BKIS скомпрометировали алгоритм, который используют производители ноутбуков для авторизации пользователей с помощью встроенной веб-камеры. Используя специальную обработку изображений, авторам открытия удалось войти в систему по напечатанной на принтере фотографии, когда реального пользователя вообще не было рядом.

Идея, заложенная в алгоритм авторизации по лицу пользователя, кажется неплохой – вы подходите к компьютеру, он узнает вас в лицо и автоматически открывает вам доступ ко всем вашим документам, приложениям, учетным записям в других системах и.т.д. Тем не менее, на данный момент алгоритмы распознавания лиц оказались слишком уязвимы к относительно несложным попыткам взлома.

Продемонстрированный специалистами компании BKIS (которая, кстати, производит и поддерживает собственный антивирус с интерфейсом на английском и вьетнамском языках) сценарий взлома выглядит тривиально. Берется ноутбук, например, Lenovo Y430 с операционной системой Windows Vista и модулем авторизации Lenovo Veriface III. Полноправный пользователь входит в систему и начинает видеоконференцию с другим собеседником с помощью программы Skype. В ходе этого чата собеседник записывает изображение лица владельца, выбирает по специальному алгоритму один кадр, выполняет специальную обработку и печатает полученное изображение на принтере. Обработка изображения выполняется с целью размыть ненужные детали и особым образом подчеркнуть фрагменты, наиболее важные для алгоритма распознавания лиц. Готовая фотография помещается перед веб-камерой ноутбука в отсутствие владельца – результат почти всегда оказывается успешным.

Дело в том, что камера компьютера рассматривает лицо пользователя, как двумерное изображение, поэтому даже простая фотография позволяет обмануть программу, настроенную на контроль пропорций лица. Возможно, в случае распознавания по трехмерному изображению безопасность и удастся повысить, но техническая реализация такого механизма обошлась бы слишком дорого.

На данный момент уязвимость системы авторизации пользователей по лицу с помощью веб-камеры подтверждена в ноутбуках трех известных производителей – Lenovo, ASUS и Toshiba. Эксперты рекомендуют не доверять таким ноутбукам важную и секретную информацию, сообщает news.cnet.com.