Apple: 1mln di dollari a chi trova falle su iPhone, trovato modo per beffare FaceID

09 Agosto 2019 210

Apple ha messo in palio 1 milione di dollari per gli esperti di cyber security che troveranno delle falle nella sicurezza degli iPhone. Si tratta della somma più alta mai offerta finora da un'azienda per difendersi preventivamente dagli hacker.

Come riporta l'agenzia di stampa Reuters, si tratta di un'iniziativa leggermente insolita per Apple, che finora aveva offerto delle ricompense solo a ricercatori selezionati. Secondo quanto affermato ieri durante la Black Hat, invece, questa volta la possibilità sarà estesa a tutti i ricercatori, e non riguarderà solo iPhone e cloud, ma anche software Mac e altri ambiti.


Varia anche la lista di ricompense messe a disposizione di chi farà le scoperte più interessanti dal punto di vista della sicurezza: la "taglia" da 1 milione di dollari sarà vinta solo da chi troverà il modo di accedere al kernel di un iPhone da remoto senza la necessità di compiere alcuna azione sullo smartphone dell'utente. A questo scopo, Apple fornirà ai ricercatori degli iPhone speciali | Apple, in arrivo iPhone per ricercatori di sicurezza e bug bounty per macOS | leggermente più limitati - definiti iPhone dev lite da Forbes - per facilitare loro la ricerca di bug.

Si tratta, come anticipato, della ricompensa più elevata che Apple abbia mai offerto su questo fronte: finora si erano toccati i 200.000 dollari per le segnalazioni di bug a cui poter poi porre rimedio con gli aggiornamenti. Solo le realtà legate al governo avevano speso tanto, arrivando a investire fino a 2 milioni di dollari per appropriarsi delle tecniche di hacking più efficaci per ottenere informazioni dai dispositivi.

UN PRIMO CASO DI STUDIO

Proprio durante la conferenza Black Hat di Las Vegas, alcuni ricercatori hanno mostrato un metodo per bypassare il riconoscimento del volto tramite FaceID. Il test si è basato simulando gli occhi di una persona attaccando un piccolo nastro bianco su uno più grande di colore nero, a sua volta incollandoli sulle lenti di un paio di occhiali.

L'intento dei ricercatori era quello di by-passare la cosiddetta "liveness detection", ovvero la capacità di un sistema biometrico di riconoscere "quanto sia viva" la persona che deve essere riconosciuta (in pratica: serve per rilevare che davanti non ci sia una maschera). FaceID integra tale funzionalità, ed è stato dimostrato che questo semplice trucco può effettivamente mettere a rischio la sicurezza permettendo l'accesso allo smartphone.

E' infatti "sufficiente" far indossare gli occhiali speciali alla vittima prescelta (addormentata, dunque con gli occhi "reali" chiusi) per eludere il sistema di sicurezza: iPhone riconosce il volto - anche con gli occhiali - e sblocca il dispositivo. Il team di ricerca ha completato il test accedendo allo smartphone e inviando denaro attraverso un'app di pagamenti mobile.

Il trick funziona solo se la vittima indossa questi speciali occhiali, in quanto l'astrazione dell'occhio per il rilevamento genera un'area nera con un punto bianco al centro (simula l'occhio). Indossando gli occhiali, FaceID modifica il modo in cui la liveness detecion scansiona gli occhi, "non estraendo informazioni 3D dall'area degli occhi". In tal modo, l'area al di sotto delle lenti è come se venisse scansionata con un minor livello di dettaglio.

Ovviamente il rischio è estremamente basso: bisogna infatti che il malintenzionato riesca a far indossare gli occhiali con il nastro alla vittima addormentata senza svegliarla.

Fotocamera Wide al miglior prezzo? LG G7 ThinQ è in offerta oggi su a 372 euro.

210

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
JUDVS

Quel sito su quale sensore lo metteresti?

L'impronta è più sicura, perchè il FaceID per avere un minimo di tolleranza deve accettare modifiche all'aspetto, altrimenti basterà cambiare taglio di capelli, girare gli occhi da una parte o fare un'espressione diversa e non si sbloccherà mai.
A differenza di FaceID, l'impronta è quella, non si può modificare, se è diversa non si sblocca, punto.

Il_grande_Lebowski

Peccato, non capisco perché non lo vogliono implementare. La. Potenza di calcolo per farlo non manca ed è, spesso, utile. Boh.

boosook

Si spera che la polizia non arrivi a tanto! ;)

Pinzatrice

Ok, io avrei il diritto, ma se sono morto anche un telefono senza FaceID si sblocca, basta il dito...

boosook

Indagini di polizia ad esempio... Dove in teoria tu avresti il diritto di non sbloccare il telefono.

Porco Zio

Sul deep web vale minimo 10 milioni se esiste quella falla

Marco SoC

Su iPhone non credo

Marco Sartori

lol

Piddì

Allora vai, non farti sfuggire quest’occasione. Se poi non riesci vai pure si Android che li è molto ma molto più facile

Luigi Duchi

Ora dico io ma voi lo immaginate un ladro che vi entra in casa con un paio di occhiali taroccati per sbloccarvi l'iphone mentre dormite? Non é più probabile che entri con una mazza da baseball e vi minacci di fare homerun con la vostra testa se non gli sbloccate il telefono?

Il_grande_Lebowski

Un semi ot : in ios13 sarà implementato lo split screen?

Jimmy Grove
Aristarco

Dai é sveglio, lo facesse il mio mi incazzere1, ma meglio una cosa così che altre 1000 porcherie

MarcoCau

Sì, l'XR

Jonathan Ditaranto

Hanno Iphone?

KenZen

È solo un maleducato.
Ha preso l’ennesimo pacco di palline magnetiche (cinesi) che servono a creare i più svariati oggetti.
Saluti

csharpino

Non devi indossarglieli, basta che li tieni davanti alla faccia...

Fabio

Hahahah

teob

Rivenduta al mercato nero rende mooolto di più.

nutci

Non ho detto questo in alcuna parte dei miei commenti.
Se non riesci a comprendere lunghi periodi prova con un'analisi logica.

MaK

a questo punto basta usare il dito di una persona che dorme, senza troppi sbattimenti.

Alessandro Peter

Mettere un paio di occhiali sul viso di una persona non comporta un contatto? E come glieli piazzi? Prova a infilarne un paio a una persona che dorme e vedi se non la svegli

Brubri_

Se non la segnali tu, è probabile che presto o tardi la scoprirà qualcun altro e la segnalerà al posto tuo... Alla fine verrà comunque corretta, con la differenza che avrai lasciato prendere a qualcun altro quei soldi.

MarcoCau

I miei figli, gemelli, sbloccano uno il telefono dell'altro con il riconoscimento facciale.
Ho vinto quacchecosa???

Bruno Boborosso Craighero

Accedere al kernel da remoto senza azioni su iphone? Se qualcuno trova il modo farebbe bene a tenerlo per se e a mettere in piedi una ditta di recupero dati, 1 milione sono bruscolini in confronto ai possibili guadagni.

lore_rock

Quindi per te qualsiasi software o soluzione hardware é una beta perché possono avere problemi?

ADM90
persson

un kalachnikov! :D...
state creando dei mostri!!! e in tutta sincerità la cosa che piú mi sciocca della vicenda non é tanto che abbia usato la tua impronta mentre dormivi ma leggere che, a sei anni! "tanto che ho attivato il blocco del SUO iPad"...

Andrej Peribar

Toh guarda!
Citavo sotto la tua vicenda, spero vada bene.

L.Lort

a specchio senza rimuovere il rilevamento dello sguardo sblocca senza problemi. Poi invece con un paio di vecchi occhiali da sole con lenti nemmeno scurissime, spesso fa cilecca

il Gorilla con gli Occhiali

Per 1.000.000 di dollari di falle ne trovi quante ne vuoi...

ErCipolla

Io mi baso sull'articolo, che dice testualmente che finora le ricompense le davano solo a "esperti selezionati" e non a chiunque. Se è falso ritiro ciò che ho detto, ma non credo lo sia, non ho mai sentito parlare di programmi di reward pubblici da parte di Apple finora.

ErCipolla

[citation needed]

Aristarco

Cmq vista la sua presenza intermittente su hdblog presumo riceva dei tso ogni tanto e quando pensano di averlo guarito e lo dimettono lui ricomincia a spaccar le balle qui

Aristarco

Tuo figlio é un genio, per curiosità cosa si é comprato?

persson

Benissimo, tutto come volevasi dimostrare!
Quindi viva Eppolllsss ed il suo fantastico facciaid!

Supersantosss

facilissimo

AristarcoS

Certo facile

nutci

Cambia i soggetti e ottieni esattamente le stesse situazioni. Puoi ragliare e dire no quanto vuoi ma è così.

KenZen

ahahahhahahaha una non l'hai azzeccata :D
Saluti

KenZen

Non serve alcuna torcia. Semmai è più facile aprire le palpebre :D
Cmq, mio figlio (6 anni) qualche settimana fa ha fatto un acquisto su Amazon usando il mio iPad con il mio dito mentre dormivo.
Non ne vado per nulla fiero (tanto che ho attivato il blocco del suo iPad per tutto il mese di Agosto) ma assurdamente c'è riuscito nonostante non abbia un sonno così profondo.
Saluti

shieldofjustice

Bella foto profilo

csharpino

Più semplice no... Farti appoggiare il dito comporta cmq un contatto mentre metterti davanti alla faccia mentre stai dormendo un occhiale no... Parliamo cmq di casi limite....

lore_rock

Fresca di oggi! XD

lore_rock

Non ho aziende preferite, al limite poso essere fan o tifoso della Ferrari, semplicemente non puoi prendere cose diverse e far finta che siano uguali, a mia memoria l’unica volta che Apple ha venduto qualcosa in Beta é stato Siri con l’uscita di iPhone 4S

nutci

In pratica hai spostato una semplice osservazione di carattere frasiologico in qualcosa che sfocia nella tifoseria fra le varie industrie.
La prossima volta invece di dire "non ho capito" scrivi semplicemente "sono un fanboy Apple" così, chi ti legge, non si premurerà nemmeno di tentare di fornirti una spiegazione alle proprie parole, trovando il discutere con chi assume un comportamento da setta verso un'azienda qualcosa di inutile e deleterio.

Non rispondo nel merito dei tuoi farfugliamenti (perdonami ma trovo oltremodo oltraggioso chiamarle argomentazioni) visto che sicuramente tu hai molta più esperienza nel rispondere a tono verso chi attacca la tua azienda preferita e qualsiasi tesi portassi a mio favore verrebbe battuta da anni di astio e risentimento verso una qualche non ben nota entità di persone che non la pensano come te.

Sony

Sony Xperia XZ3: a quasi un anno di distanza resiste bene | Riprova

Nvidia

Montaggio video: il PC e i software consigliati dai professionisti

Samsung

Recensione Samsung Galaxy Fit e: un notificatore con rilevamento attività

HDMotori.it

Sony, ecco l'autoradio 1 DIN con CarPlay, Android Auto e display da 9"