On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

[...]

>>>>> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
>>>>> telefon ?
>>>> To są te dane z twarzy.
>>> A jakis nr seryjny telefonu tam jest, haslo uzytkownika itp?
>>
>> "Face ID is based on a facial recognition sensor that consists
>> of two parts: a dot projector module that projects more than
>> 30,000 infrared dots onto the user's face, and an infrared camera
>> module that reads the pattern.[4] The pattern is encrypted and sent
>> to a local "Secure Enclave" in the device's CPU to confirm a match
>> with the registered face.[5][6] The stored facial data is
>> a mathematical representation of key details of the face,
>> and it is inaccessible to Apple or other parties."
>
> Czyli wystarzczy maska :-)

Wystarczy, jak pokazał eksperyment wietnamski.
Ale musi być bardzo precyzyjna, a więc nie jest to tak
łatwe do zrobienia (trzbe amieć sporą wiedzę).

>>> Bo moze wystarczy dowolny iphone i maska, zrobiona np na podstawie
>>> zdjec z facebooka :-)
>> Zdjęcia z facebooka nie zawierają informacji potrzebnych od odtworzenia
>> takiej twarzy. Nawet kilka zdjęć nie odtworzy z nich precyzyjnie głębii
>
> Twarz nie jest znow taka precyzyjna, wiec pewne tolerancje musza byc.

FaceID się uczy Twojego wyglądu, więc po prostu z czasem
pozwala na więcej nietolerancji niż wcześniej. Ale trudno
komuś obcemu się akurat "wstrzelić" w te właściwe.

A jak się nie wstrzeli (na co masz 4 próby), to urządzenie prosi
o PIN.

>> Mniej więcej:
>>
>> let reason = "Log in to your account"
>> context.evaluatePolicy(.deviceOwnerAuthentication, localizedReason: reason ) {
success, error in
>>
>> if success {
>> ///... tu uzytkownik jest autoryzowany
>> }
>> }
>
> No to kilka innych metod ataku sie rysuje.

Napieraj :)

> Np zapuscic apke pod symulatorem i podmienic API systemu :-)

Znowu idziesz w meandry SF. Nie wgrasz symulatora iPhone na
urządzenie iPhone. A jak sobie wgrasz aplikację mBanku do
symulatora na macu, to musisz ją normalnie powiązać z
kontem, do czego FaceID Ci się nie przyda.
A skoro już możesz zrobić powyższe, to użytkownik
ma o wiele większy problem. :)

>>>> Nie masz dostępu do danych, tylko wynik autoryzacji.
>>>> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
>>>> review nie przejdzie. :)
>>>
>>> Dlaczego mialoby nie przejsc?
>>> Przeciez nie bedzie pisalo, ze to wirus :-)
>>
>> Wykorzystanie funkcji systemowych spoza SDK jest wykrywane
>> automatycznie na etapie skanowania kodu. Więc będzie coś
>> w stylu "Twoja aplikacja używa prywatnego API i będzie
>> odrzucona". A z tymi publicznie dostępnymi to krzywdy
>> systemowi nie zrobisz. :)
>
> Spodziewalem sie czegos innego, ale czy funkcje FaceID to jakies
> prywatne API, czy wlasnie ogolne ?

Poza tą funkcją którą Ci rzuciłem, reszta jest prywatna.

> Przeciez kazdy chce wygodnej autoryzacji - banki, facebook, instagram,
> gadu-gadu ...

No i? Funkcja odpowiada na pytanie "czy przy telefonie jest
osoba autoryzowana przez faceid. W swojej aplikacji najpierw
musisz się zalogować normalnie, np. pinem/hasłem, posiadać
już jakieś (własne) dane identyfikujące, zapisane w urządzeniu
i ew. pozwolić użytkownikowi na użycie autoryzacji faceid,
zamiast tego pinu/hasła/cokolwiek.

To nie jest tak, że byle ściągnięta aplikacja będzie wiedzieć
że Ty to Ty, bo użyjesz FaceID :-)

--
Wojciech Bańcer
w...@g...com