Dnia Tue, 6 Aug 2019 16:29:43 +0200, Wojciech Bancer napisał(a):
> On 2019-08-06, J.F. <j...@p...onet.pl> wrote:
> [...]
>>> Skaner 3d w FaceId widzi głębię obrazu, poza tym skaner FaceId
>>> działa też w podczerwieni, a zdjęcie nie ma ciepłoty ludzkiej
>>> głowy.
>>>
>>> "The Face ID hardware consists of a sensor with three modules; one
>>
>> Ale to jakby osobne urzadzenie, czy mozna wstawic w telefon ?
>
> Mówimy o module wsadzonym w iPhone X oraz nowszych.

Wydawalo mi sie, ze piszesz o FaceId NIE od Apple.

>>> projects a grid of small infrared dots onto a user's face whose
>>> name is dot projector, the other module called the flood illuminator
>>> reads the resulting pattern and generates a 3D facial map, and the
>>> third one is the infrared camera which takes an infrared picture
>>> of the user"
>>
>> To "infrared" niekoniecznie ma zwiazek z cieplota ... ale co za
>> problem podgrzac maske ?
>
> Żaden. Ale maska to nie zdjęcie.
> No i to tylko jeden z elementów zabezpieczeń.

Drukarki 3D tez nie sa juz drogie :-(

Ale to faktycznie tylko na bogatych, a nie masowka.

>> Tylko ... skoro to podczerwien, to nawet nie zauwazy jak mu taka fotke
>> zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D.
> No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być pierwszy. :)

Przez kilka zdjec ...

>>> No i musisz podpieprzyć użytkownikowi telefon, bo dane autoryzacyjne
>>> do faceid / touchid są przechowywane wyłącznie na telefonie,
>>> w specjalnym chipie.
>>
>> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
>> telefon ?
>
> To są te dane z twarzy.

A jakis nr seryjny telefonu tam jest, haslo uzytkownika itp?

Bo moze wystarczy dowolny iphone i maska, zrobiona np na podstawie
zdjec z facebooka :-)

>> Ale nadal widze pare mozliwosci ataku:
>> -nie uda sie zlamac tego chipa ? nie trzeba bedzie twarzy, maski,
>> telefonu, tylko bank bedzie myslal, ze to dobre dane,
>
> iphone jest dość mocno zabezpieczony. Swego czasu było głosno o tym,
> że Apple aktualizacją zablokowało część telefonów. Okazało się, że
> wszystkie miały wymieniany ekran (a co za tym idzie przycisk touch
> id) w serwisach nieautoryzowanych.

Rzeczywisty wplyw na bezpieczenstwo, czy tylko zlosliwosc ? :-)

>> -a apka z urzadzeniem jak polaczone ?
> Przez wewnętrzne SDK.

To inna apka ma dostep do tych danych, przez to SDK ?

>> Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ...
>
> Nie masz dostępu do danych, tylko wynik autoryzacji.
> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
> review nie przejdzie. :)

Dlaczego mialoby nie przejsc?
Przeciez nie bedzie pisalo, ze to wirus :-)

> Wiesz, teoretycznie to wszystko można, ale może się okazać,
> że łatwiej odstrzelić komarowi skrzydkła ze 100 metrów za pomocą
> kuli armatniej niż taką sytuację w praktyce wywołać. :)

J.

do góry

On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

[...]

>> Mówimy o module wsadzonym w iPhone X oraz nowszych.
> Wydawalo mi sie, ze piszesz o FaceId NIE od Apple.

Nie ma FaceID nie od Apple :)

>>> zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D.
>> No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być pierwszy. :)
>
> Przez kilka zdjec ...

No jak zrobisz kilka zdjęć podobnymi sensorami jakie stosuje
FaceID, to może i owszem. Ale to nie są zjęcia które ściągniesz
od kogoś z facebooka.

>>> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
>>> telefon ?
>> To są te dane z twarzy.
> A jakis nr seryjny telefonu tam jest, haslo uzytkownika itp?

"Face ID is based on a facial recognition sensor that consists
of two parts: a dot projector module that projects more than
30,000 infrared dots onto the user's face, and an infrared camera
module that reads the pattern.[4] The pattern is encrypted and sent
to a local "Secure Enclave" in the device's CPU to confirm a match
with the registered face.[5][6] The stored facial data is
a mathematical representation of key details of the face,
and it is inaccessible to Apple or other parties."

> Bo moze wystarczy dowolny iphone i maska, zrobiona np na podstawie
> zdjec z facebooka :-)

Zdjęcia z facebooka nie zawierają informacji potrzebnych od odtworzenia
takiej twarzy. Nawet kilka zdjęć nie odtworzy z nich precyzyjnie głębii

>> iphone jest dość mocno zabezpieczony. Swego czasu było głosno o tym,
>> że Apple aktualizacją zablokowało część telefonów. Okazało się, że
>> wszystkie miały wymieniany ekran (a co za tym idzie przycisk touch
>> id) w serwisach nieautoryzowanych.
>
> Rzeczywisty wplyw na bezpieczenstwo, czy tylko zlosliwosc ? :-)

Po trochę oba. :)

>>> -a apka z urzadzeniem jak polaczone ?
>> Przez wewnętrzne SDK.
> To inna apka ma dostep do tych danych, przez to SDK ?

Do wyników autoryzacji ("rozpoznany", "nierozpoznany").

Mniej więcej:

let reason = "Log in to your account"
context.evaluatePolicy(.deviceOwnerAuthentication, localizedReason: reason ) {
success, error in

if success {
///... tu uzytkownik jest autoryzowany
}
}

>>> Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ...
>>
>> Nie masz dostępu do danych, tylko wynik autoryzacji.
>> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
>> review nie przejdzie. :)
>
> Dlaczego mialoby nie przejsc?
> Przeciez nie bedzie pisalo, ze to wirus :-)

Wykorzystanie funkcji systemowych spoza SDK jest wykrywane
automatycznie na etapie skanowania kodu. Więc będzie coś
w stylu "Twoja aplikacja używa prywatnego API i będzie
odrzucona". A z tymi publicznie dostępnymi to krzywdy
systemowi nie zrobisz. :)

iOS to nie jest Windows, użytkownik nie ma pełnej
kontroli i nie ma jak jek przekazać aplikacji.

--
Wojciech Bańcer
w...@g...com

do góry

Dnia Tue, 6 Aug 2019 18:51:40 +0200, Wojciech Bancer napisał(a):
> On 2019-08-06, J.F. <j...@p...onet.pl> wrote:
>>>> zrobisz. A potem wyprodukujesz maske, ktora ma pasujace wymiary 3D.
>>> No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być pierwszy. :)
>>
>> Przez kilka zdjec ...
>
> No jak zrobisz kilka zdjęć podobnymi sensorami jakie stosuje
> FaceID, to może i owszem. Ale to nie są zjęcia które ściągniesz
> od kogoś z facebooka.

Chodzi o zrobienie modelu 3D twarzy.
I tu kilka zdjec z roznych kierunkow pomaga.

>>>> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
>>>> telefon ?
>>> To są te dane z twarzy.
>> A jakis nr seryjny telefonu tam jest, haslo uzytkownika itp?
>
> "Face ID is based on a facial recognition sensor that consists
> of two parts: a dot projector module that projects more than
> 30,000 infrared dots onto the user's face, and an infrared camera
> module that reads the pattern.[4] The pattern is encrypted and sent
> to a local "Secure Enclave" in the device's CPU to confirm a match
> with the registered face.[5][6] The stored facial data is
> a mathematical representation of key details of the face,
> and it is inaccessible to Apple or other parties."

Czyli wystarzczy maska :-)

>> Bo moze wystarczy dowolny iphone i maska, zrobiona np na podstawie
>> zdjec z facebooka :-)
> Zdjęcia z facebooka nie zawierają informacji potrzebnych od odtworzenia
> takiej twarzy. Nawet kilka zdjęć nie odtworzy z nich precyzyjnie głębii

Twarz nie jest znow taka precyzyjna, wiec pewne tolerancje musza byc.

>>>> -a apka z urzadzeniem jak polaczone ?
>>> Przez wewnętrzne SDK.
>> To inna apka ma dostep do tych danych, przez to SDK ?
>
> Do wyników autoryzacji ("rozpoznany", "nierozpoznany").
>
> Mniej więcej:
>
> let reason = "Log in to your account"
> context.evaluatePolicy(.deviceOwnerAuthentication, localizedReason: reason ) {
success, error in
>
> if success {
> ///... tu uzytkownik jest autoryzowany
> }
> }

No to kilka innych metod ataku sie rysuje.
Np zapuscic apke pod symulatorem i podmienic API systemu :-)

Co innego jakby bank dostal zaszyfrowane dane twarzy, do porownania ze
swoimi danymi.

>>>> Moze wirusa zainstalowac, co przekaze dane z urzadzenia dalej ...
>>>
>>> Nie masz dostępu do danych, tylko wynik autoryzacji.
>>> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
>>> review nie przejdzie. :)
>>
>> Dlaczego mialoby nie przejsc?
>> Przeciez nie bedzie pisalo, ze to wirus :-)
>
> Wykorzystanie funkcji systemowych spoza SDK jest wykrywane
> automatycznie na etapie skanowania kodu. Więc będzie coś
> w stylu "Twoja aplikacja używa prywatnego API i będzie
> odrzucona". A z tymi publicznie dostępnymi to krzywdy
> systemowi nie zrobisz. :)

Spodziewalem sie czegos innego, ale czy funkcje FaceID to jakies
prywatne API, czy wlasnie ogolne ?
Przeciez kazdy chce wygodnej autoryzacji - banki, facebook, instagram,
gadu-gadu ...

J.

do góry

Dnia 06.08.2019 Wojciech Bancer <w...@g...com> napisał/a:

> Tuż gdzieś obok było podane info, że tylko 5% użytkowników
> wie co robi. :)

Może być, gdzieś mi się przewinęło swego czasu info ile procent
ludzi rozumie informacje zawarte w rozkładzie jazdy :-(

> To nie jest wiedza z gatunku "wystarczy".

Poważnie ludzie są aż tak głupi, żeby nie wiedzieć,
że uprawnienia odczytu sms dla aplikacji oznaczają,
że aplikacja będzie mogła odczytać sms- w tym te z banku?

Cóź, w takim razie pozostaje dla nich tylko Apple...

> Telefon to nie jest urzędzenia dla specjalistów, którzy
> sobie będą szukać po necie sposobów na jego zabezpieczenie.

Smartfon. Jeśli ktoś potrzebuje tylko telefonu, to zdecydowanie
lepiej sprawdzi się "feature phone", pieszczotliwie zwane
dumbphone.

> Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy
> najlepiej zmienić prawo tak by użytkownik był wszystko-wiedzącą,
> za-wszystko-odpowiedzialną istotą? No jakaś myśl to jest. :-)

Akurat w tym przypadku uważam, że zamiast rażącego niedbalstwa
spokojnie wystarczyłoby "niezachowanie należytej staranności".

Zabezpieczenie systemów? Owszem, jeśli bank da swoje urządzenie
służące tylko do bankowania, wtedy może go sobie kastrować
i zabezpieczać dowolnie.

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

On 2019-08-06, J.F. <j...@p...onet.pl> wrote:

[...]

>>>>> i to sa te dane z twarzy, czy jakies losowe klucze identyfikujace
>>>>> telefon ?
>>>> To są te dane z twarzy.
>>> A jakis nr seryjny telefonu tam jest, haslo uzytkownika itp?
>>
>> "Face ID is based on a facial recognition sensor that consists
>> of two parts: a dot projector module that projects more than
>> 30,000 infrared dots onto the user's face, and an infrared camera
>> module that reads the pattern.[4] The pattern is encrypted and sent
>> to a local "Secure Enclave" in the device's CPU to confirm a match
>> with the registered face.[5][6] The stored facial data is
>> a mathematical representation of key details of the face,
>> and it is inaccessible to Apple or other parties."
>
> Czyli wystarzczy maska :-)

Wystarczy, jak pokazał eksperyment wietnamski.
Ale musi być bardzo precyzyjna, a więc nie jest to tak
łatwe do zrobienia (trzbe amieć sporą wiedzę).

>>> Bo moze wystarczy dowolny iphone i maska, zrobiona np na podstawie
>>> zdjec z facebooka :-)
>> Zdjęcia z facebooka nie zawierają informacji potrzebnych od odtworzenia
>> takiej twarzy. Nawet kilka zdjęć nie odtworzy z nich precyzyjnie głębii
>
> Twarz nie jest znow taka precyzyjna, wiec pewne tolerancje musza byc.

FaceID się uczy Twojego wyglądu, więc po prostu z czasem
pozwala na więcej nietolerancji niż wcześniej. Ale trudno
komuś obcemu się akurat "wstrzelić" w te właściwe.

A jak się nie wstrzeli (na co masz 4 próby), to urządzenie prosi
o PIN.

>> Mniej więcej:
>>
>> let reason = "Log in to your account"
>> context.evaluatePolicy(.deviceOwnerAuthentication, localizedReason: reason ) {
success, error in
>>
>> if success {
>> ///... tu uzytkownik jest autoryzowany
>> }
>> }
>
> No to kilka innych metod ataku sie rysuje.

Napieraj :)

> Np zapuscic apke pod symulatorem i podmienic API systemu :-)

Znowu idziesz w meandry SF. Nie wgrasz symulatora iPhone na
urządzenie iPhone. A jak sobie wgrasz aplikację mBanku do
symulatora na macu, to musisz ją normalnie powiązać z
kontem, do czego FaceID Ci się nie przyda.
A skoro już możesz zrobić powyższe, to użytkownik
ma o wiele większy problem. :)

>>>> Nie masz dostępu do danych, tylko wynik autoryzacji.
>>>> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
>>>> review nie przejdzie. :)
>>>
>>> Dlaczego mialoby nie przejsc?
>>> Przeciez nie bedzie pisalo, ze to wirus :-)
>>
>> Wykorzystanie funkcji systemowych spoza SDK jest wykrywane
>> automatycznie na etapie skanowania kodu. Więc będzie coś
>> w stylu "Twoja aplikacja używa prywatnego API i będzie
>> odrzucona". A z tymi publicznie dostępnymi to krzywdy
>> systemowi nie zrobisz. :)
>
> Spodziewalem sie czegos innego, ale czy funkcje FaceID to jakies
> prywatne API, czy wlasnie ogolne ?

Poza tą funkcją którą Ci rzuciłem, reszta jest prywatna.

> Przeciez kazdy chce wygodnej autoryzacji - banki, facebook, instagram,
> gadu-gadu ...

No i? Funkcja odpowiada na pytanie "czy przy telefonie jest
osoba autoryzowana przez faceid. W swojej aplikacji najpierw
musisz się zalogować normalnie, np. pinem/hasłem, posiadać
już jakieś (własne) dane identyfikujące, zapisane w urządzeniu
i ew. pozwolić użytkownikowi na użycie autoryzacji faceid,
zamiast tego pinu/hasła/cokolwiek.

To nie jest tak, że byle ściągnięta aplikacja będzie wiedzieć
że Ty to Ty, bo użyjesz FaceID :-)

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być
> pierwszy. :)

No właśnie był spektakularny przykład, że się udało. Pewnie z innym
modułem, ale tu chodzi o zasadę działania - to, co widzi kamera (nawet
najdoskonalsza), można skopiować i ją oszukać.

> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
> review nie przejdzie. :)

A jak się rootowało androidy? Wykorzystując błędy.
--
Krzysztof Hałasa

do góry

Wojciech Bancer <w...@g...com> writes:

> Ale mówiłeś o tym że się tego "nie da załatać".
> Oprogramowanie da się załatać i jest łatane.

Ale nie jest załatane. Nie da się załatać, bo szybkość łatania jest
mniejsza niż szybkość tworzenia dziur.

>> Owszem. Ale jeśli ktoś wyda na to $50k (realna kwota),
>
> Nierealna kwota. Tyle zarabia przeciętny dev na legalu,

Przez pół roku, rok, albo dwa (zależy gdzie). Optymistycznie rzecz
biorąc. Proponuję powrót marketing -> rzeczywistość.
--
Krzysztof Hałasa

do góry

On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> No jakoś się nikomu przez "zdjęcie" nie udało, ale możesz być
>> pierwszy. :)
>
> No właśnie był spektakularny przykład, że się udało.

Wskażesz? Bo z maską i owszem, ale zdjęciem niespecjalnie.
Przy czym sami autorzy zastrzegli, że "udało się" w warunkach
laboratoryjnych, a to nie to samo.

> Pewnie z innym modułem, ale tu chodzi o zasadę działania - to,
> co widzi kamera (nawet najdoskonalsza), można skopiować i ją
> oszukać.

Nie, nie chodzi o zasadę działania, ale o statystykę.
Powrócę do zasady: aby coś było *praktycznie* do złamania,
musi być to a) opłacalne [1] b) względnie masowo możliwe.

FaceID to może się opłacać łamać rządom, które targetują
konkretne osoby, albo grupom wybierającym milionerów,
a nie grupom targetującym ludzi masowo.

[1] to nie tylko cena komponentów, ale i wiedza fachowców

>> A wirusa jak chcesz zainstalować na iPhone? Bo procesu
>> review nie przejdzie. :)
>
> A jak się rootowało androidy? Wykorzystując błędy.

Androidy, tak jak i iPhone rootuje się podmieniając oryginalne
flashe na takie przerobione (chociaż mało kto chyba rootuje już
iPhone, to było bardziej popularne w czasach iP4).

Nie słyszałem o przypadku zrootoowania urządzenia przez bład.
Wskażesz linka? Bo to że aplikacje sobie proszą o nadmiarowe
uprawnienia, a użytkownicy je dają, to nie jest błąd systemu.

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> Ale mówiłeś o tym że się tego "nie da załatać".
>> Oprogramowanie da się załatać i jest łatane.
>
> Ale nie jest załatane. Nie da się załatać, bo szybkość łatania jest
> mniejsza niż szybkość tworzenia dziur.

Istotnych dziur? Niespecjalnie.

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

[...]
>
> Nie słyszałem o przypadku zrootoowania urządzenia przez bład.
> Wskażesz linka? Bo to że aplikacje sobie proszą o nadmiarowe
> uprawnienia, a użytkownicy je dają, to nie jest błąd systemu.

TERAZ, to chyba producenci już nie próbują walczyć z wiatrakami i
pozwalają "legalnie" dostać roota, lub uwolnić bootloader, ale jeszcze
+- 4 lata temu robiło się to właśnie przez błedy.
Przychodzi mi do głowy tylko towel root czy kingroot, ale pewnie było
tego więcej.
KJ



--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
I generally avoid temptation unless I can't resist it.
-- Mae West

do góry