אפליקציות מסוימות עם זיהוי פנים יכולות להיות שוללות על ידי שימוש פשוטתמונות חיות
, מדווח השבוע מייגן ג'ונסון, העומד בראש מחקר בחברת ייעוץ.
פגם זה יפגע לפחות בשני מפעלים בנקאיים, ויקל על הונאת מערכת האימות על ידי הצגתתמונה מונפשתמראה את המשתמש מהבהב.
כל שעליכם לעשות הוא להיכנס באמצעות בחירה בזיהוי ביומטרי. בזמן שאתה מתחבר לחלק המאובטח של האפליקציה, מצמצם את עיניך מספר פעמים והאפליקציה תרשום אותך. הייתה לנו תמונה שלי ממצמצת, זו הייתה תמונה חיה. הנחנו את ה-Live Photo מול מסך זיהוי הפנים בטלפון. אחרי חמש שניות זה עבד וחיבר אותנו לאפליקציה.
שיטה זו תעבוד ביישומים בנקאיים באמצעות זיהוי פנים כשיטת אימות. נכון לעכשיו, החוקרים הצליחו לנצל את הפגם הזה עם אפליקציות משני בנקים, ששמו לא נחשף, אך אחד מהם יהיה מוסד מרכזי בארצות הברית והשני בנק צעיר יחסית, הממוקם בבריטניה.
גם נציג הבנק הבריטי Atom זיהה כי אתמונה חיהיכול לפעמים לאפשר לשטות במערכת הזיהוי הביומטרי, אך מציין ששיטה זו אינה מייצגתרק צעד אחדבאימות משתמש. יתרה מכך, הממסד הבנקאי בודק בכל חיבור שהוא באמת מגיע מהסמארטפון של בעל החשבון, ומבקש אבטחה מוגברת להזנת קוד סודי בן 4 ספרות. ליתר אבטחה, האפליקציה אפילו מסרבת כל גישה ממכשיר לא נעול.
עד סוף השנה, מאסטרקארד אמורה להציע סוף סוף ללקוחותיהלאבטח את העסקאות שלהם באמצעות סלפי, אולם שיטה זו תיושם בנוסף למערכות אימות מסורתיות (קוד סודי או פס מגנטי).
