Especialistas da chinesa Tencent demonstraram que é possível burlar o FaceID, o sistema de reconhecimento facial usado no iPhone, usando óculos e fita adesiva se a vítima estiver dormindo ou inconsciente.
Eles descobriram que, quando o FaceID analisa uma pessoa que está usando óculos, a tecnologia apenas procura por um ponto branco onde estaria o olho, não sendo necessário criar uma réplica do olho da vítima: os óculos têm potencial para funcionar em qualquer pessoa quando colocados sobre a face da vítima, permitindo que o FaceID a reconheça de olhos fechados.
A pesquisa foi conduzida por três especialistas do Tencent Security Xuanwu Lab que se identificaram como Yu Chen, Bin Ma e HC Ma. Eles apresentaram a técnica em uma palestra na conferência de segurança Black Hat, em Las Vegas.
Tecnologias de autenticação biométricos ? que reconhecem a pessoa pela voz, rosto ou impressão digital ? devem verificar se a pessoa está consciente para que a trava de segurança digital não coloque em risco a segurança física do indivíduo. Isso é normalmente um desafio para esses sistemas, principalmente quando é necessário equilibrar a segurança com a conveniência de uso.
No caso do FaceID, é a compatibilidade com óculos que permite o ataque. Segundo o trio da Tencent, quando FaceID detecta um par de óculos, o reconhecimento do olho é substituído pela busca por um ponto branco onde o sistema acredita que o olho estaria.
O reconhecimento facial do FaceID é feito em 3D. Para detectar o olho em um rosto com óculos, ele passa a aceitar um sinal em apenas duas dimensões. A situação se agrava ainda mais em um ambiente escuro.
Apesar de funcional e simples, o ataque necessita que o invasor tenha acesso ao iPhone da vítima e à própria vítima, que precisaria estar dormindo ou inconsciente enquanto os óculos são colocados na face.
Procurada, a Apple não se manifestou até a publicação da reportagem.
O FaceID é considerado o melhor sistema de reconhecimento facial em celulares. Em aparelhos Android, a preferência é pelo reconhecimento de digital. Embora diversos aparelhos Android ofereçam a opção de reconhecimento facial, essa opção às vezes não é recomendada nem pelo fabricante.
Desde o iOS 11, o iPhone inclui um recurso de SOS de emergência que pode ser ativado segurando o botão lateral e um dos botões de volume. Essa função desativa o FaceID ou o TouchID, exigindo o uso da senha para o próximo desbloqueio, sendo ideal para situações em que o usuário corre risco de coação ou de ter seu rosto ou digital usado sem permissão para realizar o desbloqueio. O Android 9 introduziu uma tecnologia semelhante chamada "Bloqueio Total".