Dnia Tue, 6 Aug 2019 18:51:40 +0200, Wojciech Bancer napisał(a):
> On 2019-08-06, J.F. <j...@p...onet.pl> wrote:
>>>> zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D.
>>> No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być pierwszy. :)
>>
>> Przez kilka zdjec ...
>
> No jak zrobisz kilka zdjęć podobnymi sensorami jakie stosuje
> FaceID, to może i owszem. Ale to nie są zjęcia które ściągniesz
> od kogoś z facebooka.

Chodzi o zrobienie modelu 3D twarzy.
I tu kilka zdjec z roznych kierunkow pomaga.

>>>> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
>>>> telefon ?
>>> To są te dane z twarzy.
>> A jakis nr seryjny telefonu tam jest, haslo uzytkownika itp?
>
> "Face ID is based on a facial recognition sensor that consists
> of two parts: a dot projector module that projects more than
> 30,000 infrared dots onto the user's face, and an infrared camera
> module that reads the pattern.[4] The pattern is encrypted and sent
> to a local "Secure Enclave" in the device's CPU to confirm a match
> with the registered face.[5][6] The stored facial data is
> a mathematical representation of key details of the face,
> and it is inaccessible to Apple or other parties."

Czyli wystarzczy maska :-)

>> Bo moze wystarczy dowolny iphone i maska, zrobiona np na podstawie
>> zdjec z facebooka :-)
> Zdjęcia z facebooka nie zawierają informacji potrzebnych od odtworzenia
> takiej twarzy. Nawet kilka zdjęć nie odtworzy z nich precyzyjnie głębii

Twarz nie jest znow taka precyzyjna, wiec pewne tolerancje musza byc.

>>>> -a apka z urzadzeniem jak polaczone ?
>>> Przez wewnętrzne SDK.
>> To inna apka ma dostep do tych danych, przez to SDK ?
>
> Do wyników autoryzacji ("rozpoznany", "nierozpoznany").
>
> Mniej więcej:
>
> let reason = "Log in to your account"
> context.evaluatePolicy(.deviceOwnerAuthentication, localizedReason: reason ) {
success, error in
>
> if success {
> ///... tu uzytkownik jest autoryzowany
> }
> }

No to kilka innych metod ataku sie rysuje.
Np zapuscic apke pod symulatorem i podmienic API systemu :-)

Co innego jakby bank dostal zaszyfrowane dane twarzy, do porownania ze
swoimi danymi.

>>>> Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ...
>>>
>>> Nie masz dostępu do danych, tylko wynik autoryzacji.
>>> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
>>> review nie przejdzie. :)
>>
>> Dlaczego mialoby nie przejsc?
>> Przeciez nie bedzie pisalo, ze to wirus :-)
>
> Wykorzystanie funkcji systemowych spoza SDK jest wykrywane
> automatycznie na etapie skanowania kodu. Więc będzie coś
> w stylu "Twoja aplikacja używa prywatnego API i będzie
> odrzucona". A z tymi publicznie dostępnymi to krzywdy
> systemowi nie zrobisz. :)

Spodziewalem sie czegos innego, ale czy funkcje FaceID to jakies
prywatne API, czy wlasnie ogolne ?
Przeciez kazdy chce wygodnej autoryzacji - banki, facebook, instagram,
gadu-gadu ...

J.