Тесты в лабораториях Which выявили, что функцию блокировки по лицу во многих современных смартфонах можно обойти, используя лишь фотографию владельца.
С октября 2022 года исследователи протестировали 208 телефонов, и в 64% случаев (133 устройства) биометрическую разблокировку по лицу удалось обойти с помощью фотографии, напечатанной на 2D-принтере. Проблема достигла пика в 2024 году, когда доля таких смартфонов подскочила на 35% по сравнению с 2023-м. Тогда этот показатель вырос до 72%.
Исследователи тестировали следующие бренды: Asus, Fairphone, Honor, HMD, Motorola, Nokia, Nothing, OnePlus, Oppo, Realme, Samsung, Vivo и Xiaomi.
В 2025 году они отметили небольшое улучшение на 13% по сравнению с предыдущим годом (до 63%).
Отмечается, что большинство телефонов Android — особенно бюджетные и модели среднего ценового сегмента — используют стандартную систему распознавания лиц в 2D-формате. По сути, она использует камеру для получения плоского изображения человека. Из-за отсутствия глубины система часто не может отличить живого человека от фотографии или кого-то похожего.
Однако последние лабораторные тесты показывают, что некоторые производители добиваются ощутимого прогресса. Так, новая серия Samsung Galaxy S26 успешно прошла раунд тестов на подмену личности. Однако линейка Galaxy S25 их не прошла.
Систему Face ID от Apple и 3D-системы, используемые в моделях Pro от таких брендов, как Honor, также гораздо сложнее обмануть. Они используют сложное 3D-картирование, проецирующее тысячи невидимых точек для создания карты глубины лица.
А последние флагманские телефоны Google (Pixel 8, 9 и 10) представляют собой своего рода исключение. Они используют 2D-систему, но ту, которая значительно более безопасна. Google применяет передовые методы машинного обучения, чтобы гарантировать соответствие телефонов высоким стандартам безопасности для банковских операций и платежей.
Отмечается, что с 2023 года несколько производителей улучшили свою работу. Например, Xiaomi позаботилась о том, чтобы указать на риски безопасности 2D-фотографий на 26 отдельных уязвимых устройствах. Samsung также предоставляла предварительные предупреждения на девяти устройствах за последние три года. Между тем Motorola и OnePlus выпустили 27 моделей телефонов с октября 2022 года, на которых можно легко обойти разблокировку по лицу.
Даже новые бренды на рынке попадают в ту же ловушку. Например, компания Nothing не предоставила своим клиентам адекватного предупреждения на всех пяти устройствах, которые исследователи тестировали в нашей лаборатории с 2024 года.
Авторы работы обратились к производителям затронутых моделей телефонов с требованием повышения стандартов и большей прозрачности. Некоторые ответили, указав на свои датчики отпечатков пальцев как на «основной» метод защиты.
Вот список смартфонов, не соответствующих требованиям:
-
Fairphone 6;
-
Honor Magic6 Lite 5G;
-
Motorola Moto G75 5G, Motorola Edge 60 Pro, Motorola Edge 60 fusion, Motorola Moto G56 5G, Motorola G86, Motorola Edge 40 Neo, Motorola Moto g35, Motorola Moto g55, Motorola Razr 50 Ultra, Motorola Edge 50 Ultra, Motorola Edge 50 Pro, Motorola Moto G73;
-
Nothing Phone (2a) Plus, Nothing Phone (3a), Nothing Phone (3a) Pro, Nothing Phone (3), Nothing Phone (2a);
-
OnePlus 13R, OnePlus 13, OnePlus Nord 5, OnePlus Nord CE5, OnePlus 15, OnePlus Nord 3 5G;
-
Oppo Reno 13 F, Oppo Reno 13 Pro, Oppo Find X9 Pro, Oppo Find X9, Oppo Reno 11 F 5G.
Чтобы повысить безопасность устройства, можно предпринять несколько шагов для усиления защиты:
-
переключиться на разблокировку по отпечатку пальца или PIN-коду;
-
установить PIN-код SIM-карты;
-
использовать функцию «Блокировка приложений», чтобы требовать отпечаток пальца специально для мессенджеров, электронной почты или фотогалереи.
Компания Fairphone сообщила, что безопасность и конфиденциальность являются основой её дизайна, но отметила, что устройства используют 2D-распознавание лиц, относящееся к биометрическому классу 1 (класс 1 — это отраслевой стандарт «удобства», который не соответствует гораздо более строгим порогам безопасности). Fairphone указала, что из-за этого сама система Android автоматически блокирует использование функции в финансовых приложениях.
Honor объяснила, что 2D-системы имеют технические ограничения, которые могут сделать их уязвимыми для обмана с помощью фотографий, видео или силиконовых масок. Из-за этого она рассматривает функцию как инструмент для удобства, а не для авторизации конфиденциальных транзакций. Для тех, кому необходима первоклассная безопасность, например, для банковских операций, Honor рекомендует свои флагманские модели Pro.
Motorola заявляет, что безопасность потребителей является для неё приоритетом, но признаёт, что технология разблокировки по лицу разработана в первую очередь для удобства разблокировки телефона. Компания рекомендует использовать PIN-код, пароль или графический ключ для лучшей защиты.
OnePlus утверждает, что уже обеспечивает прозрачность в отношении этих рисков. Компания указала на обязательное «Заявление об использовании распознавания лиц», которое каждый пользователь должен прочитать, прежде чем включить опцию. В этом уведомлении владельцам сообщается, что технология менее безопасна, чем отпечаток пальца или цифровой пароль.
ссылка на оригинал статьи https://habr.com/ru/articles/1025160/