FaceIDTA-846110596

Hoe veilig is de gezichtsscan functie van de nieuwe iPhone eigenlijk?

Al jarenlang balanceert Apple op een grens die het alles-makkelijk-maken scheidt van alles-veilig-maken. Tot zover ging ze dat relatief goed af. Neem bijvoorbeeld een pascode van zes cijfers – vrijwel onmogelijk te kraken door dieven of zelfs de FBI, maar voor de bedenker vaak niet eens 1 seconde werk. Het daarna geintroduceerde TouchID ging door op deze voet – een complete vingerscan die simpelweg afgenomen werd via je homebutton.

Gisteren onthulde Apple hun nieuwe iPhone X mét FaceID, een systeem dat je gezicht in een wachtwoord verandert. Dat veroorzaakt echter een groot probleem: het belooft makkelijk te zijn, maar lijkt ook een stuk onveiliger dan de voorgaande password-opties.

De theorie is simpel: kijk naar je telefoon, die herkent je en unlockt vervolgens. FaceID zal niet alleen gebruikt worden voor het unlocken van je scherm, maar ook voor het downloaden van Apps of het betalen met Apple Pay (wat tot nu toe niet mogelijk is in Nederland).

“With the iPhone X, your iPhone is locked until you look at it and it recognizes you. Nothing has ever been more simple, natural, and effortless,” zei Apple exec Phil Schiller tijdens de lancering. “This is the future of how we’ll unlock our smartphones and protect our sensitive information.”

Als Apple dat wil doorvoeren dan moet het een paar enorme challenges overbruggen. Je gezicht gebruiken als beschermmiddel draagt namelijk al jaren risico’s met zich mee – risico’s die tot nu toe bijna onoverkoombaar waren. Gezichtsherkenning is al jaren doodsimpel om te omzeilen.

Zoals in 2009, toen onderzoekers aantoonden dat ze login op basis van gezichtsscan op laptops konden foppen door een foto van de laptopeigenaar voor de webcam te houden. Of in 2015, toen een journalist de gezichtsherkenning van Alibaba omzeilde door een video van zichzelf te gebruiken waarop hij knipperde.

FaceID hacken zal echter niet zo simpel zijn. De iPhone X gebruikt een infrarood systeem dat Apple ‘TrueDepth’ noemt. Dat systeem projecteert 30.000 onzichtbare stippen op het gezicht van de gebruiker, waarna een infraroodcamera die stippen gebruikt om de stippen waar te nemen. De gebruiker moet vervolgens zijn/haar hoofd draaien om een 3D render van het gezicht te laten maken – een beetje zoals films/games gebruiken om acteurs te digitaliseren.

FaceIDInline-846111630

Er is echter één groot probleem: ook dit is te omzeilen. De simpelste manier, die nog niet getest is, zou het 3D printen van iemands hoofd zijn en dat vervolgens gebruiken om een iPhone mee te unlocken. Ook is er een ander groot probleem dat bij de passcodes en TouchID niet was. Een password zit in je hoofd, een vingerafdruk is miniscuul onder je vinger. Je gezicht is constant out in the open, ready om geregistreerd te worden. Door voorbijgangers, door beveilingscamera’s én, belangrijkst – je gezicht staat overal op social media. Met verschillende expressies en verschillende angles – researchers van de universiteit van North Carolina bewezen vorig jaar al dat ze met alleen Facebook foto’s een 3D model konden maken van iemands gezicht. Dat 3D model kon vervolgens gebruikt worden om vijf verschillende gezichts-herken applicaties te unlocken; de test had een successrate van tussen de 55 en 85 procent.

Je gezicht gebruiken als beveilingscode is dan ook een beetje alsof je je PIN code op een post-it schrijft, het op je voorhoofd plakt en buiten gaat wandelen. Gelukkig beseft Apple de gevaren van FaceID zelf ook. In iOS 11 zitten namelijk twee features ingebouwd om misbruik te voorkomen: één is dat je de zes-cijferige pincode moet invoeren als je de iPhone aan een nieuwe computer koppelt; Facescan is daar niet genoeg. Ook heeft Apple een ‘SOS mode’ ingebouwd, waardoor gebruikers FaceID en TouchID kunnen uitschakelen door vijf keer op de power-button te drukken.

Deze instellingen laten zien dat Apple begrijpt dat extra beveiligingslagen écht nodig zijn voor FaceID. Als je bang bent dat mensen je kunnen hacken door de foto’s waar je op getagged wordt op Facebook, blijf dan gewoon lekker de ouderwetse passcode gebruiken. Niks mis mee.