Il nuovo Face ID, la tecnologia Apple di sblocco dello smartphone tramite riconoscimento facciale, ha debuttato assieme ad iPhone X recentemente. E come un rito, appena la casa di Cupertino lancia un nuovo prodotto, stuoli di hacker lo mettono alla prova, cercando di trovarne delle vulnerabilità. In questo report, cercheremo di capire come funziona Face ID e come questo può essere “fregato”.

Apple ha la straordinaria capacità di rieditare cose vecchie facendole passare per grandi trovate. Il touchscreen esisteva già, ma iPhone lo rese popolare, ad esempio, e anche nel caso del riconoscimento facciale, non è la casa della mela ad averlo inventato. Se per questo, già ai tempi del Samsung Galaxy S3 esisteva qualcosa del genere, solo a livello piuttosto rudimentale e per questo non spopolò fra gli utenti.

Apple Face ID: come funziona e quanto è bravo a riconoscere i volti?

Face ID invece è tecnologia di alto livello: il meccanismo di funzionamento è piuttosto semplice, in realtà. Si registra il proprio volto per un paio di volte, e iPhone X è capace di riconoscere le “geometrie” del nostro viso. La distanza fra i nostri connotati, attaccatura dei capelli, forma generale del viso, lineamenti caratteristici delle guance. Ma il punto nevralgico è quella specie di triangolo che si forma tra i due occhi e il naso, che permette ad iPhone X di riconoscerci.

Il meccanismo funziona nella stragrandissima maggioranza dei casi. Face ID è veloce, funzionante e intelligente. Le donne, che più degli uomini sono suscettibili a cambi di trucco, pettinatura o che più facilmente indossano occhiali fashion o foulard, hanno condotto dei test, tutti al femminile. E’ il caso di Grazia, che conferma come iPhone X sia in grado di riconoscerci anche se tentiamo di fare i furbi, e persino in condizioni di pochissima luce, quasi al buio.

Come ammesso dalla stessa Apple durante la conferenza di presentazione, gli unici casi in cui Face ID può prendere un granchio è la presenza di persone con tratti estremamente simili ai nostri (circa 7 persone per ognuno sulla terra), di gemelli omozigoti che sembrano nostre fotocopie o visi di minori fino ai 13 anni, quando i tratti somatici non sono ancora sviluppati completamente. Per il resto, quanto a funzionamento, Face ID è un drago.

Apple Face ID: e se arriva un ladro?

A questo punto, per la nostra sicurezza, è importante capire se questo meraviglioso ritrovato di Apple può essere raggirato dagli hacker e se, come utenti, ha senso fidarsi ciecamente di un meccanismo che sembra essere la risposta definitiva a tutti i problemi di sicurezza legati all’accesso al proprio smartphone.

Innanzitutto, la semplicità di FaceID ha alcuni elementi controproducenti in caso di furto. Immaginate di trovarvi per la strada, e di incontrare un malintenzionato con tutto l’interesse a rubarvi uno smartphone al top di gamma che costa quasi €1000. Nel caso che il telefono abbia un PIN o un segno di sblocco, il ladro dovrebbe costringervi a rivelare il codice o addirittura a farvi segnare la sequenza con il dito. Cosa impossibile, se consegnate il cellulare e scappate a gambe levate.

Simile discorso con il Touch ID, il sistema di riconoscimento per impronte digitali, creato sempre da Apple e integrato in tutti i nuovi modelli. Anche in questo caso, il furfante dovrebbe prendersi la briga di farvi appoggiare il polpastrello per bene, per un paio di secondi. E se vuoi fuggite alla velocità di Usain Bolt, potreste facilmente lasciare il criminale con un bel telefono ma bloccato.

Con Face ID invece, basterebbe inquadrarvi il viso e lo sblocco avverrebbe immediatamente. Tanto più che il sistema non è minimamente in grado di riconoscere se la vostra espressione è alterata, impaurita o sotto stress. E anche se fosse in grado, un aggiornamento del genere potrebbe rivelarsi controproducente nel caso in cui ci sia un pericolo ma, al contrario, iPhone X dovrebbe sbloccarsi: come una chiamata di emergenza ad una ambulanza. In tal caso, dovreste ricorrere all’opzione “chiamata di emergenza” o ad uno sblocco alternativo con PIN, rendendo Face ID inutile nel momento del bisogno.

Aldilà del furto, un’altro possibile modo di ingannare Face ID sembra quello di utilizzare le maschere. La Bkav, compagnia vietnamita di sicurezza, ha spiegato in un post del suo blog, di essere riuscita a superare il riconoscimento mediante l’uso di una maschera. Dopo aver prelevato i tratti somatici di un viso con un materiale tipo il pongo, è bastata una stampante 3D per realizzare una maschera. A questa sono stati aggiunti i tratti somatici principali, gli occhi, tra l’altro in versione 2D, quindi praticamente disegnati, e il gioco ha funzionato.

Il punto debole di Apple Face ID: non riconosce se il viso è vitale

Con un lavoro di un paio di ore e poco più di 150 dollari, l’iPhone X si sbloccava tramite un viso fantoccio.

In realtà è chiaro che la stragrande maggioranza delle persone non ha nulla da temere da un meccanismo del genere. E’ evidente che il tutto parte da una registrazione delle forme del viso direttamente sulla pelle della vittima, e che una fatica simile non viene certo affrontata ai danni del possessore di iPhone medio. Infatti, Marc Rogers, ricercatore di sicurezza Cloudfare, che nel 2013 riuscì per primo a craccare il Touch ID, ha spiegato che l’esperimento nel suo complesso non rappresenta un reale pericolo nè può essere considerato un hack credibile.

Ma il test di Bkav ha permesso di capire una cosa importante: Face ID, sebbene sia estremamente sofisticato, sembra basi tutto il suo funzionamento sostanzialmente sul riconoscimento degli occhi e del suo contorno. Ma soprattutto, sembra non esegua alcun tipo di controllo se il viso che sta inquadrando è un viso “vitale”, ovvero sveglio, attento. E sotto questo aspetto, Bkav ha dimostrato che esiste la reale possibilità che l’iPhone X si sblocchi anche inquadrando il viso del proprietario mentre dorme, o peggio, anche quando non è più in vita.

Insomma: se la fidanzata gelosa, mentre siete profondamente addormentati, non poteva sbloccare il vostro iPhone perchè aveva bisogno del PIN, di una sequenza da tracciare o del vostro dito (con il rischio di svegliarvi a meno che non siate sbronzi o in coma), con Face ID basterebbe inquadrare il vostro viso dormiente, e il gioco è fatto. Il che posiziona l’efficacia di FaceID al di sotto di quella del TouchID. Con la differenza che la tecnologia impiegata in quest’ultimo è decisamente superiore e più costosa, sia per l’azienda che per il consumatore.

Insomma, persino Face ID ha qualche sbavatura.

Apple comunque può essere soddisfatta: i meccanismi di sicurezza nello sblocco dei telefoni e in generale l’esportazione sul mercato di tecnologie di protezione vengono quasi sempre dettate proprio dalla casa di Cupertino, almeno nel mondo mobile. Fu così per lo sblocco con impronta digitale, è così con il riconoscimento facciale, e probabilmente lo sarà anche nel futuro. Ma questo non toglie che l’attenzione degli utenti debba rimanere sempre alta. Perchè il rischio di introdurre novità di sicurezza “che fanno figo”, ma poi funzionano persino meno delle soluzioni precedenti, è sempre dietro l’angolo.

E l’illusione di sicurezza è quanto di peggio possa capitare.