.
Samsung, Oppo e Nokia estão entre uma série de fabricantes de telefones Android com tecnologia de digitalização de reconhecimento facial que pode ser “facilmente enganada” por uma foto 2D impressa, de acordo com testes realizados pelo grupo de campanha Which?
Os técnicos residentes que testam uma variedade de telefones e marcas (veja a caixa abaixo) disseram que as descobertas são preocupantes, pois a tecnologia biométrica costuma ser considerada uma das maneiras mais seguras de desbloquear um aparelho.
Dos 48 telefones, quais? enviadas a laboratórios para testes, 19 podiam ser falsificadas com fotos e “preocupantemente” elas “nem mesmo tinham uma resolução particularmente alta e foram impressas em uma impressora padrão de escritório em papel normal, em vez de fotográfico”.
A grande maioria dos telefones que falharam no teste biométrico simples eram, sem surpresa, de preço baixo a médio, embora Qual? afirmou que havia exceções, incluindo o Xiaomi 13 e o Motorola Razr.
Dos telefones que Qual? as contas podem ser enganadas, sete foram feitas pela Xiaomi, quatro vieram da Motorola, enquanto duas vieram da Nokia, Oppo e Samsung. Um modelo feito pela Honor e outro pela Vivo também foi considerado explorável.
De acordo com os requisitos do Android, os fabricantes de telefones devem garantir que os dispositivos e softwares sejam “compatíveis com o Android”, o que inclui a frequência com que a segurança do dispositivo pode ser falsificada. Os sistemas de classe 3 não devem ser enganados mais de 7 por cento do tempo, e o sistema de classe 1 é o menos seguro, com uma taxa de spot de 20 por cento do tempo para mais.
Qual? expressou preocupações de que os golpistas possam explorar a fraqueza para, por exemplo, acessar a Carteira virtual do Google para fazer pagamentos de valor limitado (£ 45 no Reino Unido, cerca de US $ 56) sem precisar desbloquear o telefone. Para transações maiores, o Google pede aos usuários que usem uma fechadura biométrica Classe 3, Qual? disse.
Carteira virtual do Google, como Registro leitores conhecem, contêm cartões de crédito ou débito e podem exibir os últimos quatro dígitos de um número de cartão e, possivelmente, informações sobre transações recentes. Este e outros aplicativos podem estar vulneráveis à vulnerabilidade de bloqueio de foto 2D.
Os telefones vulneráveis testados devem ser classificados como biométricos de Classe 1, acrescentou o grupo de campanha. “O Android não permite que telefones nesta categoria sejam usados por aplicativos de terceiros para fazer login ou confirmar ações importantes.”
Os aplicativos bancários podem exigir outros requisitos adicionais ou métodos de autenticação para transações de maior valor. No entanto, se você é um usuário da Apple, nada disso importa, pois todos os iPhones testados passaram devido a um “sistema mais robusto” que inclui um “mapa de profundidade 3D do seu rosto” e explica por que vários aplicativos bancários permitem apenas medidas de reconhecimento facial em Dispositivos da Apple.
Não há leis em vigor que impeçam os fabricantes de telefones de usar o telefone no que diz respeito à segurança biométrica. Existem padrões voluntários, como o Instituto Europeu de Padrões de Telecomunicações, que diz que “o reconhecimento facial 2D não deve exceder 1 em 50.000 vezes”. Os telefones testados falharam nessa métrica, avalia o grupo de campanha.
Qual? disse que o Google está trabalhando com outras empresas em um programa de certificação baseado nesse padrão. O defensor do consumidor pediu aos fornecedores que melhorassem seu jogo biométrico contra a falsificação e informassem os usuários sobre as limitações de alguns tipos de tecnologia de digitalização facial.
Lisa Barber, editora de tecnologia da Which?, disse em um comunicado: “É inaceitável que as marcas estejam vendendo telefones que podem ser facilmente enganados usando uma foto 2D, especialmente se eles não estão alertando seus clientes sobre essa vulnerabilidade. Nossas descobertas são realmente preocupantes implicações para a segurança das pessoas e suscetibilidade a golpes.
“Recomendamos fortemente a qualquer pessoa que use esses telefones que desligue o reconhecimento facial e use o sensor de impressão digital, uma senha forte ou um PIN longo”.
Google disse qual? que os OEMs de hardware selecionam o nível de segurança biométrica e é sua responsabilidade garantir que seus produtos possam atender aos requisitos do Documento de Definição de Compatibilidade do Android. O Google disse que está “trabalhando constantemente para elevar o nível de segurança do usuário”.
Telefones Nokia testados por Quais? têm software de reconhecimento facial que não têm privilégios em aplicativos de terceiros, disse o fornecedor ao grupo de campanha. A Nokia disse que alerta os clientes de que os telefones podem ser desbloqueados por alguém que se pareça “muito” com eles. Ele disse que não encontrou problemas ao testar os telefones.
A Samsung disse ao grupo de campanha que seu leitor de impressão digital era o “nível mais alto de autenticação” e a Vivo concordou que, no nível da indústria, o reconhecimento facial 2D é uma “medida de segurança elementar”, informando aos usuários durante o processo de configuração do telefone que o os telefones podem ser desbloqueados por outro indivíduo que se pareça com eles.
Honor, Motorola, Oppo e Xiaomi não responderam ao grupo de campanha para dar o seu lado das coisas. Pedimos a essas empresas que comentassem, mas no momento da publicação, apenas uma havia respondido.
Um porta-voz da Oppo disse Strong The One:
“A OPPO adota recursos de segurança com base nos padrões da indústria, oferecendo várias opções de segurança para os usuários desbloquearem seus telefones. O reconhecimento facial 2D combina o proprietário com o telefone por meio de algoritmos de IA e foi projetado para desbloqueio rápido. Para o mais alto nível de segurança biométrica, nós aconselharia usar o método de impressão digital.” ®
.
