С момента своего появления в iPhone X в 2017 году система разблокировки по лицу Apple Face ID заняла первое место по популярности среди подобных. Как и любая система, основанная на анатомических особенностях живых людей, Face ID имеет свои ограничения: её защиту обходят близкие родственники, возможно — двойники; в СМИ неоднократно писали о том, что Face ID путает детские лица, иногда позволяя ребёнку разблокировать устройство родителя. В этой статье мы попробуем разобраться, что из этого соответствует действительности, что оказалось фейком, что сумели сделать исследователи безопасности и можно ли использовать их наработки в криминалистической лаборатории.

Что такое Face ID: чем решение Apple отличается от разблокировки по лицу в Android

Разблокировка по лицу — это быстро и удобно, но сделать её не просто удобной, но и безопасной оказалось непростой задачей. Впервые с разблокировкой такого рода я столкнулся в смартфонах Nokia Lumia (позднее — Microsoft Lumia), в которых использовался сканер сетчатки глаза с инфракрасной подсветкой. Система была безопасной, но назвать её быстрой или удобной было бы преувеличением. Разблокировка по лицу используется и в компьютерах Windows — подсистема Windows Hello. В отличие от Face ID, в Windows Hello для компьютеров используется более простая схема: инфракрасная подсветка и одна инфракрасная камера, формирующая изображение лица. Стерео-сканирования или проекции структурированного света, как у Apple, нет, поэтому точность и стойкость распознавания зависят в основном от качества сенсора и программных алгоритмов. У Windows Hello есть и другие недостатки (например, можно использовать внешние USB-камеры, а для разблокировки компьютера сразу после загрузки не нужно вводить пароль — достаточно посмотреть в камеру), которых лишён Face ID.

Во многих устройствах Android также есть возможность разблокировки по лицу. С безопасностью эти решения имеют мало общего: за исключением древнего Google Pixel 4 и нескольких топовых моделей Samsung в телефонах Android для входа по лицу используется обычная селфи-камера, обман которой превратился в любимое развлечение начинающих хакеров.

Apple Face ID — это не просто анализ фотографии или даже видеопотока с селфи-камеры; для распознавания используется выделенный модуль TrueDepth, в котором проектор инфракрасных точек проецирует на лице владельца своеобразную маску, по которой создаётся карта глубины, а инфракрасная камера фиксирует её вместе с обычным изображением. Полученные данные проходят через нейросетевой процессор, формируя математическую модель лица, которая сравнивается с эталонной записью, хранящейся в защищённой области устройства под защитой Secure Enclave. Сочетание структурированного света, инфракрасного сканирования и машинного обучения должно было сделать систему устойчивой к попыткам обмана; её принципиально невозможно обойти с помощью любых фотографий или видеозаписей.

Безопасность Face ID

С момента появления в 2017 году Face ID вызвал оживлённые споры, особенно жаркие на фоне сценического провала в момент её демонстрации во время анонса iPhone X. Было непонятно, насколько система будет устойчива к попыткам её обмануть, насколько хорошо она будет работать в условиях низкого (хорошо) и чрезмерного (похуже) освещения. Практически сразу Apple объявила, что близкие родственники или маленькие дети теоретически могут разблокировать устройства друг друга, и первые тесты подтвердили, что близнецы действительно могут обмануть технологию.

Позднее к теме подключились исследователи, которые сумели синтезировать так называемые «шаблонные лица» — синтетические изображения, созданные алгоритмами машинного обучения и совпадавшие сразу с несколькими личностями в коммерческих системах распознавания. Впрочем, эти работы так и остались теорией; никакой угрозы для Face ID они не несут. Чтобы обмануть датчик, потребовались точные измерения зарегистрированного в системе лица, 3D-печать и силиконовые маски, в результате чего усилия оказывались просто бессмысленными. Так, вьетнамская компания Bkav продемонстрировала успешное срабатывание составной маски в лабораторных условиях, однако ни журналисты, ни профессионалы не смогли воспроизвести результат в реальных условиях. Другие специалисты исследовали возможности обхода такой функции Face ID, как распознавание внимания (смотрит ли пользователь в камеру). Оказалось, что именно этот момент обойти можно: с помощью недорогих очков Face ID удалось «убедить» в том, что спящий пользователь внимательно смотрит на телефон.

Историческая справка

2017-09-12, The Guardian, Alex Hern. Во время демонстрации Face ID на iPhone X во время доклада Крейга Федериги распознавание не сработало. Apple выпустили разъяснения: система сработала в штатном режиме, просто датчик реагировал на работников сцены, которые переносили устройства, и заблокировал биометрику после нескольких неудачных попыток.

Практический вывод: штатный режим. Apple заявила, что Face ID сработал так, как задумано (имела месо ошибка в подготовке демонстрации).

2017-11-03, WIRED, David Pierce; Junho Kim; Jordan McMahon. WIRED нанял специалистов по биометрии, гримёра и визажиста, чтобы попытаться обойти Face ID с помощью масок и грима.

Практический вывод: не удалось. Несмотря на все усилия, команда не смогла обмануть Face ID; система оказалась устойчивой к гриму и маскам.

2017-11-12 (репортаж от 2017-11-14), Reuters, npr.org. Mai Nguyen (Bkav). Вьетнамская фирма Bkav опубликовала видео и отчет, демонстрирующие составную маску (3D-печать + силикон + бумага), которая смогла разблокировать iPhone X в лаборатории.

Практический вывод: сомнительно. Достижение Bkav за пределами лаборатории повторить не удалось; Apple и многие исследователи квалифицировали атаку как дорогостоящую, специализированную и не представляющую практической угрозы.

2017-11-14, WIRED, David Pierce (репортаж). Несколько единичных случаев (включая случай, когда 10-летний ребёнок разблокировал iPhone X родителя, и сообщения о однояйцевых близнецах) показали, что близкие родственники или дети иногда могут разблокировать устройства друг друга.

Практический вывод: коллизии в особых случаях. Apple признала повышенный риск ложных распознаваний для маленьких детей и предупредила о возможных коллизиях среди близких родственников.

2019-03, IWBF, Research Gate (тезисы конференции), Raghavendra Ramachandra et al. Эмпирическое исследование с использованием специальных силиконовых 3D-масок в коммерческих системах распознавания лиц (включая мобильные устройства).

Практический вывод: не имеет непосредственного отношения к Apple Face ID, но высококачественные объёмные маски могут успешно обманывать некоторые коммерческие системы.

2019-07-29, Black Hat USA white paper (PDF), Yu Chen; Bin Ma; Zhuo Ma (Tencent Xuanwu Lab). Детальный анализ и демонстрации атак на «liveness-detection» в биометрических системах, включая Face ID: исследователи проанализировали механизм обнаружения внимания Face ID и предложили малозатратные методы («X-glasses») и приёмы для обхода проверок внимания.

Практический вывод: доказана возможность разблокировки лицом спящего человека путём обмана механизма обнаружения внимания. Исследователи смогли обмануть механизм обнаружения внимания Face ID и продемонстрировали, как с помощью очков и ленты можно разблокировать телефон, пока владелец спит.

2021-09-08 (arXiv preprint), Huy H. Nguyen; Sebastien Marcel; Junichi Yamagishi; Isao Echizen. Исследование «Master Face» с использованием GAN для создания синтетических «шаблонных» лиц, которые совпадают с множеством зарегистрированных.

Практический вывод: не имеет непосредственного отношения к Apple Face ID; нацелено на более простые системы распознавания лиц, основанные на двумерных изображениях. Доказывает, что такие системы уязвимы к сгенерированным «шаблонным» лицам в некоторых условиях.

2023 (метаисследование), D. Sharma et al. Комплексный обзор методов атак на системы распознавания лиц, включая разнообразные маски и атаки deepfake, а также контрмеры. Документирует текущее состояние дел.

Практический вывод: не имеет непосредственного отношения к Apple Face ID; основная мысль — системы распознавания лиц уязвимы к новым векторам атак и нуждаются в постоянных обновлениях, чтобы противостоять им.

2025-02 (journal/conference, IEEE Computer Society), Z. Wu et al. (мульти‑модальные исследования спуфинга/»DepthFake»). Демонстрации продвинутых атак, которые проецируют или синтезируют возмущения структурированного света/глубины (например, проецирование специально созданных паттернов или использование физических проекций) для обхода активных датчиков глубины и механизмов обнаружения оживления, используемых в 3D-системах аутентификации лиц.

Практический вывод: не имеет непосредственного отношения к Apple Face ID; теоретический труд, демонстрирующий вектор атаки на каналы глубины и определения внимания. Не несёт прямой угрозы.

Значимые события

В связи с Face ID нельзя не упомянуть о нескольких значимых событиях, первым из которых стала спекуляция на тему расизма. Единственная публикация вызвала волну перепечаток, в которых муссировались слухи о том, что Face ID более уверенно срабатывает на лицах людей белой расы и плохо распознаёт лица чернокожих. Новые публикации на эту тему продолжали появляться до тех пор, пока в 2019 году не вышло исследование NIST, опровергнувшее слухи. Исследователи протестировали 189 систем распознавания лиц (в основном — двумерных), и выяснили, что в ряде случаев белые лица действительно распознаются более уверенно (в 10-100 раз!) по сравнению с лицами чернокожих и людей из Южной Азии, однако к Apple Face ID это не относилось.

Более интересным является случай, когда в апреле 2019 при помощи Face ID две сестры Maha и Wafa al-Subaie смогли сбежать из Саудовской Аравии, разблокировав телефон отца его же лицом во время сна и проставив себе разрешение на выезд в государственном приложении Absher, одной из функций которого являлся контроль за женщинами. Сёстры успешно покинули страну через Турцию, запросив убежище в Грузии (Business Insider). Это событие получило широкую известность, заставив Apple обратить внимание на приложение Absher, а власти Саудовской Аравии — ускорить работу по либерализации законодательства, в августе того же года отменив запрет на выезд из страны без разрешения мужчины хотя бы для совершеннолетних (с 21 года) женщин (Reuters).

Вывод

Итак, система Face ID продемонстрировала достаточную устойчивость к атакам как в лаборатории, так и в реальной жизни. Да, система не является неуязвимой: близкие родственники и дети всё так же могут разблокировать устройства друг друга, но в целях криминалистики эта уязвимость практически бесполезна. Все продемонстрированные атаки либо ненадёжны, либо чрезвычайно трудоёмки и требуют тщательных замеров лица человека, уже зарегистрированного в системе — что лишает подобные атаки смысла. В то же время Apple постоянно совершенствует как аппаратную, так и программную составляющие системы, и если для первого поколения датчиков из iPhone X ещё можно было говорить о каких-то возможностях обхода, то для более новых устройств подобных исследований в последние годы не зафиксировано. Для правоохранительных органов ситуация однозначна: попытки обмана датчика Face ID обречены на провал, и даже штатное использование  биометрической аутентификации при физическом наличии подозреваемого возможна в течение ограниченного времени, после которого биометрия отключается, а телефон требует ввода пасскода.