Britská agentura Which si detailně posvítila na sken obličeje u smartphonů, o němž se ví, že rozhodně nepatří mezi formy zámku telefonu s nejvyšší úrovní zabezpečení. A zatímco Apple delší dobu používá 3D sken obličeje, u Androidů se k tomu dosud nikdo neodhodlal. Telefony tak vytvářejí pouze 2D sken obličeje, což je ve své podstatně běžná fotografie. Do smartphonů se tak vemi snadno dostanou nežádoucí osoby, kterým stačí „prokázat se“ vaší fotkou obličeje nevalné kvality...
Which? začal smartphony testovat již od srpna 2022, celkem jich do laboratoře putovalo 48, z nichž 19 bylo možné při odemknutí pomocí obličeje napálit prostřednictvím vytištěné fotografie. Ta navíc neměla vysoké rozlišení a byla vytištěna na běžném kancelářském papíru. Mezi telefony, které obelhala vytištěná fotografie, patří zejména levnější modely nižší a střední třídy. Tento bezpečnostní přešlap se však nevyhnul ani dražším modelů, po porování skenu obličeje a osoby na papíře se odemkla i skládací Motorola Razr (2022), kterou v Česku pořídíte za necelých 30 tisíc korun.
Apple přišel s 3D skenerem před pěti lety, Android výrobci však nehnuli ani brvou. Do telefonů nasadili čtečky oticků prstů, základní skener obličeje však u mnohých z nich představuje spíše bezpečnostní riziko
Z celého vzorku telefonu bylo fotkou oklamáno sedm telefonů Xiomi a čtyři Motoroly. Nokia, Oppo a Samsung měly po dvou kusech, Honor a Vivo po jednom. Získání přístupu do telefonu vytištěnou fotkou, kterou útočník třeba najde na sociálních sítí oběti, a vytiskne ji, je velké bezpečnostní riziko pro informace a údaje, které v telefonu uchováváte. Po odemknutí telefonu obličejem, tak může útočník platit bezkontaktně do 500 Kč bez zadání PINu, přečíst si e-maily nebo z prohlížeče zjistit hesla k webovým službám, k nimž se přihlašujete. A to se nebavíme o prohlížení soukromých fotek a dalších dokumentů...
Neexistují ucelená pravidla
Mobilní výrobci těží z toho, že neexistuje žádná minimální podoba zabezpečení obličejem, a tak se využívá základní podoba. Tu můžeme popsat jako biometrické zabezpečení Class 1, tedy to nejsnadnější, které lze prolomit. Existuje jen dobrovolný evropský standard 2D zabezpečení obličejem, podle něhož nesmí nastat chyba při skenování (např. fotografie místo obličeje) vícekrát než jednou z 50 tisíc pokusů. U testovaných telefonů však byla tato hodnota vyšší, což je pro uživatele velké potencinální riziko.
Jak nahradit skener obličeje
V ideálním případě nahraďte základní gesto na displeji či jednoduché heslo složitějšími kombinacemi. Nepoužívejte více stejných znaků po sobě, PIN by měl mít alespoň šest číslic. U některých telefonů můžete přístup k citlivým aplikacím zablokovat dodatečně dalším heslem nebo otiskem prstu, popř. je možné tyto aplikace sdružit do uzavřeného rozhraní se samostatným přístupem (např. Zabezpečená složka u Samsungů).
Google podle všeho pracouje na minimální bezpečnostní certifikaci skenerů obličeje u Androidu, zda však tato snaha někam povede, zatím není jasné. Pokud tedy používáte některý z modelů uvedený níže, důrazně doporučujeme deaktivovat skener obličeje. I když jej máte nastavený, musíte mít stejně aktivní i sekundání metodu zabezpečení, což je znak na displeji, PIN kód nebo heslo. A pokud jste si na biometriku navykli, místo skenu obličeje si raději nastavte zabezpečení otiskem prstu. Ten je přitom řádově bezpečnější, než skener obličeje.
Seznam telefonů, které se nechaly ošálit vytištěnou fotografií:
- Honor 70
- Motorola Razr (2022)
- Motorola Moto E13
- Motorola Moto G13
- Motorola Moto G23
- Nokia G60 5G
- Nokia X30 5G
- Oppo A57
- Oppo A57s
- Samsung Galaxy S23 5G
- Samsung Galaxy M53 5G
- Vivo Y76 5G
- Xiaomi Poco M5
- Xiaomi Poco M5s
- Xiaomi Poco X5 Pro
- Xiaomi 12T
- XIaomi 12T Pro
- Xiaomi 12 Lite
- Xiaomi 13
Jak reagovali výrobci?
Google si je vědom nedokonalosti skeneru obličeje, a tak skeny nemohou být použity u aplikací třetích stran ani k potvrzování přihlášení, nákupů a dalších důležitých akcí. Google uvedl, že sami výrobci si určují to, jak moc bude sken obličeje zabezpečený. Android je aktivním členem pracovní skupiny v rámci GSMA aliance, která připravuje návh certifikačního programu, který by uživatelům jasně prozradil, jak výrazně je čtečka obličeje zabezpečená.
Nokia uvedla, že o nižší úrovni zabezpečení skenem obličeje informuje své uživatele už při nastavování skenu. Telefon může být odemknut někým, kdo vypadá podobně, jako jeho uživatel. Nokii se však v laboratorních podmínkách prolomit skener vytištěnou fotkou nepodařilo.
Samsung se vyjádřil velmi stroze. Podle něj je nejbezpečnější čtečka otisků prstů. Další informace naleznou uživatelé v nastavení telefonů Galaxy.
Vivo potvrdilo, že 2D skener obličeje je jen základní součástí zabezpečení. Už při nastavování výrobce uživatele informuje, že se jedná o méně bezpečnou formu zámku telefonu. Uživatel musí souhlasit s podmínkami pro používání skeneru a pročíst si je, než si funkci vůbec může aktivovat a nastavit.
3D skenování obličeje od Applu je s námi už pět let:
Honor, Motorola, Oppo a Xiaomi se ke zjištěním blíže nevyjádřili.
Zdroj: Which
