Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Eine Maske aus Steinmehl soll die Gesichtserkennung überlisten.  bild: bkav.com

Face ID überlistet – Wie sicher ist das neue iPhone wirklich?

Die Gesichtserkennung lässt sich angeblich durch eine relativ einfach herzustellende «Zwillingsmaske» überlisten. Ein Sicherheitsexperte relativiert.



Apple täte gut daran, auf die jüngste Kritik von vietnamesischen Sicherheitsexperten zu reagieren. Denn die bezeichnen die Gesichtserkennung beim iPhone X nun öffentlich als unsicher und raten von «geschäftlichen Transaktionen» ab.

Was ist passiert?

Anfang Woche haben die IT-Spezialisten der Sicherheitsfirma Bkav ein neues Video veröffentlicht, das demonstrieren soll, wie sich Apples Face ID mit einer Maske überlisten lässt.

Nachdem die Sicherheitsforscher bereits Mitte November eine ziemlich aufwendige Methode zur Überlistung von Apples Gesichtserkennung präsentiert hatten, soll dies nun mit einer neuen «Bastelei» deutlich einfacher vonstatten gehen.

Die wichtigsten Fakten zum Masken-Trick, der bislang nicht durch eine unabhängige Stelle bestätigt wurde:

Es handle sich um eine «kritische Schwachstelle», warnen die Sicherheitsforscher und raten generell allen Nutzern ab, Face ID für «geschäftliche Transaktionen» zu verwenden.

Fingerabdruck-Scanner seien (vorläufig) deutlich sicherer, behaupten die Sicherheitsforscher:

«Man kann sagen, dass Fingerabdrucke bis heute die sicherste biometrische Technologie sind. Das Sammeln eines Fingerabdrucks ist viel schwieriger als das Fotografieren aus der Ferne. Indessen können sowohl Apples Face ID als auch Samsungs Iris-Scanner einfach umgangen werden, indem man aus der Ferne fotografiert, um, wie oben erwähnt, 3D-Objekte zu erstellen.»

bkav.com

Dies gelte auch für Notebooks:

«Wir waren das erste Unternehmen der Welt, das gezeigt hat, dass Gesichtserkennung keine wirksame Sicherheitsmassnahme für Laptops ist, gleich nachdem Toshiba, Lenovo, Asus, etc. diese Technologie für ihre Produkte verwendet haben.»

Wie schlimm ist es wirklich?

Gegenüber Forbes relativierte ein renommierter Sicherheitsexperte. Zwar zeige das Experiment, dass eine statische Maske die Apple-Technologie täuschen könne. Allerdings seien Real-World-Anwendungen sehr schwierig zu realisieren.

«Sie können an der Art und Weise, wie dieses Experiment durchgeführt wird, sehen, dass es sehr schwierig ist, das Gerät genau so zu positionieren. Das deutet darauf hin, dass die Maske unter ganz bestimmten Umständen verwendet werden muss.»

Professor Alan Woodward, Sicherheits- und Verschlüsselungsexperte quelle: forbes

Für normale iPhone-User ändert sich durch die «Enthüllung» der vietnamesischen Sicherheitsforscher nichts. Konkrete Angriffe erscheinen extrem unwahrscheinlich, weil sich bei den meisten Opfern der Aufwand nicht lohnen dürfte. Nichtsdestotrotz bleibt ein mehr als schaler Nachgeschmack. Apple ist gefordert. Denn wie heise.de richtig erinnert, wurde zu viel versprochen:

«Apple hat Face ID nach eigener Angabe speziell darauf ausgelegt, eine Täuschung durch Masken zu durchschauen – und den Zugriff entsprechend zu verweigern.»

Hingegen hat der iPhone-Hersteller bereits vor dem Verkaufsstart des iPhone X offiziell darüber informiert, dass Face ID nicht immer zuverlässig zwischen nahen Verwandten unterscheiden könne. Die Wahrscheinlichkeit einer falschen Übereinstimmung sei insbesondere bei Zwillingen und Geschwistern grösser. Die Details dazu gibt's im Face ID Security Guide (PDF).

Auch zwischen Kindern und Eltern kann Apples Gesichtserkennung nicht immer klar unterscheiden, wie sich Mitte November zeigte. Ein Zehnjähriger konnte aufs iPhone X seiner Mutter zugreifen, wie die Familie gegenüber Wired schilderte.

Zuvor hätten mehrere Geschwisterpaare berichtet, dass sie in der Lage seien, das iPhone X des Bruders oder der Schwester zu entsperren, hielt heise.de fest. Allerdings sei dabei offenbar nach Fehlversuchen der PIN-Code eingegeben worden.

«Durch diesen Prozess versucht Face ID, kleinere Änderungen der Erscheinung zu erlernen, etwa Bartwuchs, das Tragen einer Brille oder Make-up: Bei ähnlichen Gesichtern wird dann möglicherweise auch dem anderen Geschwisterteil Zugang eingeräumt, ohne dass es sich dabei um Zwillinge handeln muss.»

quelle: heise.de

Vorläufig gilt:

Wer auf dem iPhone X sensible Informationen (Geschäftsgeheimnisse etc.) speichert oder über das Gerät darauf zugreift, sollte es durch ein sicheres Passwort (keinen sechsstelligen PIN) schützen. Gleichzeitig müsste wohl oder übel die automatische Gesichtserkennung deaktiviert werden – selbst wenn dies die Benutzerfreundlichkeit natürlich massiv beeinträchtigt.

So lautet auch die offizielle Empfehlung:

«If you happen to have an evil twin, you really need to protect your sensitive data with a passcode.»

quelle: forbes

PS: Bkav schreibt auf seiner Website, dass es nicht nur die führende Sicherheitsfirma Vietnams sei, sondern auch ein Smartphone-Hersteller. Tatsächlich ist beim 2017 lancierten Bphone lediglich ein Fingerabdruck-Scanner verbaut.

Sollte Apple eine offizielle Stellungnahme veröffentlichen, werden wir den Artikel entsprechend ergänzen.

Wie Mac Observer berichtet, hat das Unternehmen mehrere neue Promo-Videos zur Gesichtserkennung veröffentlicht. Damit wird unter anderem die Benutzerfreundlichkeit angepriesen:

Funktioniert im Dunkeln ...

abspielen

Video: YouTube/Apple

... und selbst wenn die Besitzerin das Aussehen verändert.

abspielen

Video: YouTube/Apple

Schöne neue Technik?

Kurzfilm warnt vor Mini-Drohnen

Video: Angelina Graf

Mehr Apple-Storys

Das grosse iPhone-Quiz: Bei diesen 20 Fragen zeigen sich die echten Apple-Kenner

Link zum Artikel

watson stösst auf gravierende iPhone-Sicherheitslücke – so reagiert Apple

Link zum Artikel

Die besten Videos zu Apples rundem Geburtstag – Gänsehaut garantiert

Link zum Artikel

Apples vergessene Prototypen – diese Bilder sind Nostalgie pur

Link zum Artikel

So arbeiten die heimlichen Bodyguards von Apple-Chef Tim Cook und Co.

Link zum Artikel

Mit dieser Kiste stellte Steve Jobs die Welt auf den Kopf

Link zum Artikel

Diese Botschaft von Steve Jobs ist in (fast) jedem Mac versteckt

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

34 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
DailyGuy
28.11.2017 09:03registriert December 2015
Touch ID wurde innerhalb der ersten 24 Stunden überlistet, und da sagten die Sicherheitsexperten, dass man den kleinen Finger brauchen soll, da man von diesem Finger am wenigsten Abdrücke hinterlasse. Wurde je einer von uns mit einem Fake Fingerabrdruck gehackt? Nein.
Dasselbe gilt bei der Maske. Nicht nur braucht man die genauen Gesichtsdaten, und da reichen nicht nur ein paar Fotos, dann braucht man einen extrem genauen 3D Drucker und noch ein paar Infrarotbilder der Augen. Und dann muss das ganze innerhalb von 5 Versuchen klappen, sonst sperrt sich das iPhone automatisch.
9912
Melden
Zum Kommentar
Michael Heldner
28.11.2017 08:46registriert March 2017
Hypothetische Frage, was ist schwieriger von jmd zu bekommen, sein Handy sowie einen brauchbaren Fingerabdruck, oder sein Handy und ein 1:1 3D Modell seines Gesichts (unbemerkt).
656
Melden
Zum Kommentar
Aussie
28.11.2017 09:48registriert May 2014
Mit genügend Zeit und Aufwand kann man jede Sicherheitseinrichtung überlisten/knacken/umgehen, das macht diese Einrichtung nicht jedoch nicht zwingend unsicher.
Mit dem Aufwand der da betrieben wurde ist höchstens ein gezielter Angriff möglich, aber ich bezweifle dass sich unbemerkt die notwendigen Gesichtsdaten beschaffen lassen.
Ich sehe FaceID weiterhin als sicher (genug) an.
304
Melden
Zum Kommentar
34

Schweizer Sektenführer Sasek von Anonymous brutal vorgeführt

Netzaktivisten haben die Schweizer OCG-Sekte gehackt. Veröffentlichte Dokumente zeigen, welche Spenden die Sekte von ihren Mitgliedern erhält. Sektenführer Ivo Sasek macht derweil mit Panikvideos gegen Corona-Schutzmassnahmen mobil.

Wie lukrativ ist es Sektenführer zu sein? Dank des Hacker-Kollektivs Anonymous kennen wir nun die ungefähre Antwort. Die Netzaktivisten haben in den letzten Wochen und Monaten mehrere Server der Schweizer Sekte Organische Christus-Generation (OCG) von Sektenführer Ivo Sasek gehackt und tausende E-Mails, Dokumente und insgesamt rund 300 GB an Dateien erbeutet, ausgewertet und Teile davon veröffentlicht. Darunter Tabellen, die fein säuberlich die Spenden der Sektenmitglieder aufführen. Wir …

Artikel lesen
Link zum Artikel