وقد وجد الباحثون وسيلة لتجاوز Appleيستخدم نظام FaceID زوجًا من النظارات ووضع شريطًا أسود على العدسات. وفقا ل ThreatPost تقرير ، تستفيد هذه الطريقة من ميزة الكشف "liveness" ، والتي تحدد بشكل أساسي ما إذا كانت القياسات الحيوية التي يتم التقاطها من شخص حقيقي وليس قناعًا أو صورة فوتوغرافية.
وضع باحثون من تينسنت شريطًا أسود على عدسات زوج من النظارات ، وشريطًا أبيض داخل الشريط الأسود لتنفيذ الهجوم. يمكن بعد ذلك وضع النظارات المعدلة ، والتي يطلق عليها اسم "نظارات X" ، على عيني الضحية أثناء نومها لإلغاء قفل هواتفها. تمكن الباحثون بعد ذلك من تحويل الأموال بنجاح باستخدام الدفع عبر الهاتف المحمول على هاتف الضحية بمجرد فتحه.
تم استغلال طريقة فحص عيون المستخدم من خلال الكشف عن الثبات لشن الهجوم. استفاد الباحثون من عاملين رئيسيين – التغيير في اكتشاف مدى الحياة عندما يرتدي المستخدم نظارات ولا يتم استخراج المعلومات ثلاثية الأبعاد الخاصة بمنطقة العين عندما يرتدي المستخدم نظارات.
"اكتشفوا أن تجريد العين للكشف عن حيوية يجعل منطقة سوداء (العين) مع وجود نقطة بيضاء عليها (القزحية)" ، كما جاء في التقرير. لكن الهجوم صعب للغاية لأنه يطالب الضحية بالنوم أو عدم الوعي عند وضع النظارات عليه حتى تبقى النظارات في مكانها. وبالطبع ، هناك حاجة إلى iPhone الضحية.
Apple يتم الترويج لـ FaceID من قِبل الشركة باعتبارها واحدة من أكثر تقنيات الأمان "تقدماً" على الأجهزة الشخصية. لكن هذه ليست المرة الأولى التي يتم فيها استغلال ثغرة في FaceID. في عام 2017 ، سلكي أفاد أن فريقًا من الباحثين من شركة الأمن الفيتنامية Bkav زعموا أنهم خدعوا نظام مصادقة FaceID باستخدام قناع مطبوع ثلاثي الأبعاد. نشر خبراء الأمن أيضًا مقطع فيديو حول كيفية قيامهم بذلك.
