Para quem não lembra, a versão Jelly Bean do Android introduziu a necessidade dos usuários de piscarem seus olhos como forma de verificação, mas os usuários rapidamente demonstraram que essa verificação de segurança poderia ser enganada. Contactada, um porta-voz da empresa não pode comentar quando essa sugerida tecnologia poderia ser implementada.
Enganado pelo Facebook
O documento - que foi preenchido em Junho do ano de 2012 mas que foi publicado somente agora - sugere que o software poderia rastrear um "marco facial" para confirmar que um usuário apenas se pareça com o proprietário do dispositivo, mas que também realize a ação correta.
Dentre os exemplos requeridos que podem estar incluídos, destacamos:
- uma carranca (i. é: fazer cara feia)
- uma protusão da língua (i. é: mostrar a língua)
- um sorriso de boca aberta (i. é: sorrir "de orelha a orelha")
- uma ruga na testa (i. é: se você tiver uma)
- um movimento de sobrancelha (como esse aqui: http://www.unitednuclear.com/images/mainpics/nerd.gif)
Como funciona? O mesmo verifica o proprietário ao comparar duas imagens tomadas de uma captura de vídeo da face do usuário, para ver se a diferença entre elas apresentam o mesmo gesto.
A patente preenchida também destaca várias maneiras das quais o software poderia verificar que foi apresentada ao dispositivo a face real da pessoa e não uma fotografia. Isso também inclui o estudo de outros frames de stream de vídeo capturado para verificar que a pessoa efetuou uma sequência de movimentos para produzir o comando de gestos, e assim confirmar que todos os frames atualmente mostram a face da pessoa.
Em adição, a patente diz que o software poderia monitorar se existem mudanças no ângulo da face da pessoa, para garantir que não está sendo mostrado ao dispositivo uma imagem estática com um gesto falso sendo animado por cima. Todos esses esforços poderiam ajudar a diminuir o criticismo que o software atual de detecção de faces é inseguro.
No ano passado, o Google introduziu o "liveness check", que requeria dos usuários um piscar de seus olhos para seus dispositivos, para prevenir que seu programa de reconhecimento facial fosse ludibriado por uma fotografia. Entretanto, um grupo de pesquisadores de segurança da University of British Columbia postaram um vídeo online mostrando que a funcionalidade poderia ser enganada.
Eles mostraram que uma imagem de um de seus membros poderia ser copiada do Facebook, e então, utilizando software de edição gráfica, tratar a imagem para que seus olhos fossem pintados com cores que casassem com o to da pele, e falsificando pestanas desenhadas no topo para simular que seus olhos estavam fechados.
Ao manter a tela do dispositivo apontada para o alvo (as fotos) e alternar o aparelho, movendo-o de uma imagem a outra, eles mostraram que o Android foi enganado, acreditando que as fotos se tratavam do proprietário do aparelho efetuando um piscar de olhos para efetuar seu devido desbloqueio.
Raios LASER
A última patente da empresa diz que verificações adicionais devem prevenir que tal trapaça funcione, adicionando uma combinação de gestos específicos - como uma requisição para um piscar de olhos seguido de uma virada parcial de cabeça e então uma nova piscadela - poderia ser pedido de forma randômica para ficar ainda mais difícil de enganar a funcionalidade de reconhecimento de ID do aparelho.
Entretanto, o Google reconhece que mesmo tudo isso possa não ser o suficiente, visando uma situação em que um dispositivo poderia ser programado para gerar um vídeo mostrando o usuário efetuando as expressões faciais pedidas. Para combater isso, o dispositivo poderia emitir raios de luz contendo diferentes cores ou frequências, esperando que a ação induza uma certa reflexão nos olhos do usuário de uma frequência específica.
Em outras palavras, o dispositivo poderia utilizar a tela e o flash para brilhar diferentes cores na face do usuário e então verificar se os glints relacionados nos seus olhos são dele (ou dela) que está fazendo os gestos faciais requeridos (e não um vídeo sendo apresentado para o Android).
E no futuro (próximo ou distante) o sistema poderia adicionar um sistema de identificação 3D com raiso LASER construídos nos tablets ou smartphones para estudar os contornos da face da pessoa que pede requisição para desbloquear o aparelho. Mas se já usam dedos de silicone em verificadores de ponto biométricos em hospitais para burlar o sistema de controle de ponto dos funcionários, e com o advento das impressoras 3D e seus preços cada ve mais acessíveis, quem garante que não usarão uma face construída nessas impressoras para desbloquear os aparelhos?
Apesar de tudo isso um especialista em segurança cibernética disse que ainda pode levar anos até que seja possível o uso de reconhecimento de faces como forma de desbloqueio. "O problema da biométrica no passado é que você sempre era capaz de acha ruma maneira de preparar as requisições para apresentar o que era pedido" disse a BBC o professor Alan Woodward, chefe do escritório de tecnologia da consultora Charteris.
E parece que o Google está pensando em como tentar combater isso com aleatoriedade e movimento. Mas ainda tem um longo caminho entre o que está escrito na patente e tornar funcional um sistema de segurança como esse. É bem provável que as pessoas ainda utilizem as tradicionais senhas por um bom tempo.
Um porta-voz do Google disse que não discute patentes individuais, mas notou que a mesma está preenchida com uma variedade de ideias que seus empregados tiveram. "Algumas dessas ideias mais para frente podem maturar em produtos e serviços reais, outras não" completou Woodward.
Exagero somente Atrapalha
Outro ponto contra um sistema tão complexo como esse é o tempo que um usuário pode acabar perdendo tentando desbloquear seu aparelho. E não estou falando das inúmeras tentativas que um sistema mal-projetado possa requerer do usuário, mas sim, na quantidade de requisições (ou seriam exigências) para se desbloquear um dispositivo por cada tentativa. Isso muito me lembrou uma cena dos Trapalhões onde Didi tentava verificar num ATM (vulgo caixa eletrônico) o saldo em sua conta bancária, e o caixa eletrônico apresentou uma enorme (e absurda) lista de requerimentos (senha, nome do tataravô, seguro social do vizinho, o que ele havia jantado na noite passada, e por ai vai). Ao final da longa lista (e para fazer a justa piada do programa), na última resposta ele erra e o sistema nada informa para ele.
Aquele quadro foi uma "premonição" do que poderia vir a acontecer num futuro próximo, onde o usuário é prejudicado de utilizar seus próprios dispositivos (ou serviços) por excesso de má-segurança implementada. Lembrem-se: não é prejudicando o usuário que se faz segurança de qualidade.
