شبکه اطلاع رسانی روابط عمومی ایران (شارا)- با فراگیری سیستم‌های احراز هویت دوربین‌محور، هکرها می‌توانند با بازسازی چهره سه‌بعدی کاربران با عکس‌هایی که از آنها در شبکه‌های اجتماعی منتشر شده، سیستم احراز هویت را فریب دهند و به سادگی به تجهیزات آنها نفوذ کنند.

بسیاری از تجهیزات دیجیتال این روزها برای احراز هویت کاربران و اطمینان از این‌که کسی غیر از صاحب دستگاه نمی‌تواند وارد آن شود، از داده‌های بیومتریک استفاده می‌کنند. مثلا ورود به آی‌فون یا دیگر گوشی‌های هوشمند با اثر انگشت‌هایی که پیش‌تر به گوشی معرفی شده، یا ورود به لپ‌تاپ از طریق آنالیز چشم یا چهره کاربر با دوربینی که روی آن نصب است.

اما بهره‌گیری از داده‌های یکتای بیومتریک برای ارتقای امنیت، آسیب‌پذیری‌های امنیتی یکتا و جدیدی هم پدید آورده که کار هکرها را برای نفوذ به سیستم‌های شما آسان می‌کند. مثلا اگر احراز هویت از طریق رویت صورت کاربر انجام شود، چطور باید مطمئن شد آنچه در برابر دوربین قرار گرفته واقعا صورت کاربر است یا تصویری از صورت او؟

تجهیزات دیجیتالی که رمزشان با مشاهده صورت کاربر گشوده می‌شود، اخیرا حسگرهای حرکتی مخصوصی تعبیه کرده‌اند تا مطمئن شوند آنچه در برابر دوربین قرار گرفته صورت «زنده» یک کاربر است و نه تصویری ساکن از او. برخی از این سیستم‌ها حتی از کاربران می‌خواهند که حرکت خاصی از خود نشان دهند: مثلا رو به دوربین با چشم چپ چشمک بزنند، یا ابروی راست خود را بالا دهند.

با این همه، هکرها باز هم توانسته‌اند برای فریب این حسگرها راه‌های منحصر به فردی پیدا کنند. در مقاله‌ای علمی که در سمپوزیوم امنیتی «یوزنیکس» (از بزرگ‌ترین گردهم‌آیی‌های هکرهای جهان) در هفته‌های گذشته ارائه شد، گروهی از پژوهشگران نشان دادند که با استفاده از «واقعیت مجازی» و بهره‌گیری از تصاویری که خود کاربران در شبکه‌های اجتماعی منتشر کرده‌اند، می‌توان مدلی مجازی از آنها را بازسازی کرد که می‌تواند به سادگی سیستم احراز هویت را فریب دهد و حتی کارهایی که از کاربر خواسته شده را انجام دهد: ابرو بالا بیاندازد یا چشمک و لبخند بزند.

این مدل مجازی که با تصاویر با رزولوشن بالا از اکانت‌های کاربران در فیس‌بوک و توییتر و... ساخته می‌شود، با اتصال به یک هدست VR (واقعیت مجازی، از جمله Oculus) فرآیند احراز هویت و حسگرهای حرکتی را هم‌زمان فریب می‌دهد.

همه پنج سیستم احراز هویتی که در این پژوهش بررسی شده‌اند، در مقابل این تکنیک نوین نفوذ آسیب‌پذیر بوده‌اند. عکس‌های باکیفیتی که از خود در شبکه‌های اجتماعی منتشر می‌کنید، مستقیما به کمک هکرها می‌آیند تا بتوانند هویت شما را جعل و از آن برای ورود به دستگاه‌ها و تجهیزاتی که متعلق به شماست استفاده کنند. حتی تصاویر کم‌کیفیت هم امکان جعل را فراهم می‌کنند، ولی احتمال موفقیت تصاویر کم‌کیفیت کمی هم کاهش می‌یابد.

هکرهایی که این پژوهش را انجام داده‌اند می‌گویند: «حرف ما این است که نوع کاملا تازه‌ای از حملات سایبری به زودی به راه خواهد افتاد که تهدیدی جدی برای همه سیستم‌های احراز هویت دوربین‌محور است و محور این حملات تکنولوژی واقعیت مجازی و مدل‌سازی سه‌بعدی است.»

به اعتقاد آنها تنها در صورتی امنیت این سیستم‌ها ارتقا می‌یابد که داده‌های بررسی‌پذیر دیگری هم برای احراز هویت از کاربران خواسته شود تا مطمئن شوند آن کسی که در برابر دوربین چشمک می‌زند خود کاربر است، نه مدلی سه‌بعدی از او که از عکس‌های عمومی خودش ساخته شده. یکی از راه‌های پیشنهادی آنها بررسی داده‌های حرارتی است که از پوست کاربران ساطع می‌شود.