-
Data: 2019-08-06 20:15:43
Temat: Re: PSD2 mBank i pewnie nie tylko...
Od: Wojciech Bancer <w...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 2019-08-06, J.F. <j...@p...onet.pl> wrote:
[...]
>>>>> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
>>>>> telefon ?
>>>> To są te dane z twarzy.
>>> A jakis nr seryjny telefonu tam jest, haslo uzytkownika itp?
>>
>> "Face ID is based on a facial recognition sensor that consists
>> of two parts: a dot projector module that projects more than
>> 30,000 infrared dots onto the user's face, and an infrared camera
>> module that reads the pattern.[4] The pattern is encrypted and sent
>> to a local "Secure Enclave" in the device's CPU to confirm a match
>> with the registered face.[5][6] The stored facial data is
>> a mathematical representation of key details of the face,
>> and it is inaccessible to Apple or other parties."
>
> Czyli wystarzczy maska :-)
Wystarczy, jak pokazał eksperyment wietnamski.
Ale musi być bardzo precyzyjna, a więc nie jest to tak
łatwe do zrobienia (trzbe amieć sporą wiedzę).
>>> Bo moze wystarczy dowolny iphone i maska, zrobiona np na podstawie
>>> zdjec z facebooka :-)
>> Zdjęcia z facebooka nie zawierają informacji potrzebnych od odtworzenia
>> takiej twarzy. Nawet kilka zdjęć nie odtworzy z nich precyzyjnie głębii
>
> Twarz nie jest znow taka precyzyjna, wiec pewne tolerancje musza byc.
FaceID się uczy Twojego wyglądu, więc po prostu z czasem
pozwala na więcej nietolerancji niż wcześniej. Ale trudno
komuś obcemu się akurat "wstrzelić" w te właściwe.
A jak się nie wstrzeli (na co masz 4 próby), to urządzenie prosi
o PIN.
>> Mniej więcej:
>>
>> let reason = "Log in to your account"
>> context.evaluatePolicy(.deviceOwnerAuthentication, localizedReason: reason ) {
success, error in
>>
>> if success {
>> ///... tu uzytkownik jest autoryzowany
>> }
>> }
>
> No to kilka innych metod ataku sie rysuje.
Napieraj :)
> Np zapuscic apke pod symulatorem i podmienic API systemu :-)
Znowu idziesz w meandry SF. Nie wgrasz symulatora iPhone na
urządzenie iPhone. A jak sobie wgrasz aplikację mBanku do
symulatora na macu, to musisz ją normalnie powiązać z
kontem, do czego FaceID Ci się nie przyda.
A skoro już możesz zrobić powyższe, to użytkownik
ma o wiele większy problem. :)
>>>> Nie masz dostępu do danych, tylko wynik autoryzacji.
>>>> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
>>>> review nie przejdzie. :)
>>>
>>> Dlaczego mialoby nie przejsc?
>>> Przeciez nie bedzie pisalo, ze to wirus :-)
>>
>> Wykorzystanie funkcji systemowych spoza SDK jest wykrywane
>> automatycznie na etapie skanowania kodu. Więc będzie coś
>> w stylu "Twoja aplikacja używa prywatnego API i będzie
>> odrzucona". A z tymi publicznie dostępnymi to krzywdy
>> systemowi nie zrobisz. :)
>
> Spodziewalem sie czegos innego, ale czy funkcje FaceID to jakies
> prywatne API, czy wlasnie ogolne ?
Poza tą funkcją którą Ci rzuciłem, reszta jest prywatna.
> Przeciez kazdy chce wygodnej autoryzacji - banki, facebook, instagram,
> gadu-gadu ...
No i? Funkcja odpowiada na pytanie "czy przy telefonie jest
osoba autoryzowana przez faceid. W swojej aplikacji najpierw
musisz się zalogować normalnie, np. pinem/hasłem, posiadać
już jakieś (własne) dane identyfikujące, zapisane w urządzeniu
i ew. pozwolić użytkownikowi na użycie autoryzacji faceid,
zamiast tego pinu/hasła/cokolwiek.
To nie jest tak, że byle ściągnięta aplikacja będzie wiedzieć
że Ty to Ty, bo użyjesz FaceID :-)
--
Wojciech Bańcer
w...@g...com
Następne wpisy z tego wątku
- 06.08.19 22:30 Krzysztof Halasa
- 06.08.19 22:38 Krzysztof Halasa
- 06.08.19 22:44 Wojciech Bancer
- 06.08.19 22:46 Wojciech Bancer
- 06.08.19 23:14 Kamil Jońca
- 07.08.19 12:18 jureq
- 07.08.19 12:47 Piotr Gałka
- 07.08.19 12:54 Wojciech Bancer
- 07.08.19 13:02 Wojciech Bancer
- 07.08.19 13:25 J.F.
- 07.08.19 13:37 J.F.
- 07.08.19 13:43 Michał Jankowski
- 07.08.19 13:50 Piotr Gałka
- 07.08.19 14:52 Wojciech Bancer
- 07.08.19 15:12 J.F.
Najnowsze wątki z tej grupy
- Velo częściowo ugiął się...
- że co?
- I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- Jak to kupić?
- Re: Obronią nas doskonale czołgi...
- Re: Obronią nas doskonale czołgi...
- Zabawny epizod z Santander Consumerem
- Zapamiętana karta w aplikacji
- Velo -- zgłoszenie incydentu
- Velo -- kradzież czy bałagan?...
- Velo bank nie odpuszcza?...
- Velo jak zwykle bredzi...
- Od setki do setki...
- Velo ostrzega przed sobą?
- Nest -- polecenie
Najnowsze wątki
- 2024-09-23 Velo częściowo ugiął się...
- 2024-09-22 że co?
- 2024-09-22 I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- 2024-09-20 Jak to kupić?
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-12 Zabawny epizod z Santander Consumerem
- 2024-09-12 Zapamiętana karta w aplikacji
- 2024-09-11 Velo -- zgłoszenie incydentu
- 2024-09-10 Velo -- kradzież czy bałagan?...
- 2024-09-10 Velo bank nie odpuszcza?...
- 2024-09-05 Velo jak zwykle bredzi...
- 2024-09-01 Od setki do setki...
- 2024-08-30 Velo ostrzega przed sobą?
- 2024-08-29 Nest -- polecenie