Face ID überlistet – Wie sicher ist das neue iPhone wirklich?
Apple täte gut daran, auf die jüngste Kritik von vietnamesischen Sicherheitsexperten zu reagieren. Denn die bezeichnen die Gesichtserkennung beim iPhone X nun öffentlich als unsicher und raten von «geschäftlichen Transaktionen» ab.
Was ist passiert?
Anfang Woche haben die IT-Spezialisten der Sicherheitsfirma Bkav ein neues Video veröffentlicht, das demonstrieren soll, wie sich Apples Face ID mit einer Maske überlisten lässt.
Nachdem die Sicherheitsforscher bereits Mitte November eine ziemlich aufwendige Methode zur Überlistung von Apples Gesichtserkennung präsentiert hatten, soll dies nun mit einer neuen «Bastelei» deutlich einfacher vonstatten gehen.
Die wichtigsten Fakten zum Masken-Trick, der bislang nicht durch eine unabhängige Stelle bestätigt wurde:
- Die Macher bezeichnen die Maske als «künstlichen Zwilling».
- In dem Video entsperrt die Maske das iPhone X des Sicherheitsforschers im ersten Durchlauf.
- Und dies nachdem die Testperson ihr Gesicht neu für Face ID eingerichtet, respektive die auf dem Gerät gespeicherten biometrischen Daten des Besitzers zurückgesetzt hat. Ein Training des Algorithmus sei nicht erfolgt.
- Der Trick soll bei aktivierter «Aufmerksamkeitsprüfung für Face ID» funktionieren.
- Die Maske lasse sich mithilfe eines 3D-Druckers sehr einfach anfertigen, die Materialkosten lägen bei rund 200 US-Dollar.
- Als Material komme Steinmehl zum Einsatz, da dies Face ID besser austrickse als das zuvor verwendete Papierklebeband.
- Für die Augenpartie werden aufgeklebte 2D-Infrarot-Aufnahmen eingesetzt.
- Um an die 3D-Gesichtsdaten des Opfers zu kommen, müsse dieses «nur» heimlich aus bestimmten Winkeln abfotografiert werden, etwa beim Betreten eines Raumes.
- Es bleiben Fragen zum Vorgehen der Forscher. Etwa, wie viele Versuche sie benötigten, bis es funktionierte. Bekanntlich wird Face ID nach fünf Fehlversuchen deaktiviert.
Es handle sich um eine «kritische Schwachstelle», warnen die Sicherheitsforscher und raten generell allen Nutzern ab, Face ID für «geschäftliche Transaktionen» zu verwenden.
Fingerabdruck-Scanner seien (vorläufig) deutlich sicherer, behaupten die Sicherheitsforscher:
Dies gelte auch für Notebooks:
Wie schlimm ist es wirklich?
Gegenüber Forbes relativierte ein renommierter Sicherheitsexperte. Zwar zeige das Experiment, dass eine statische Maske die Apple-Technologie täuschen könne. Allerdings seien Real-World-Anwendungen sehr schwierig zu realisieren.
Für normale iPhone-User ändert sich durch die «Enthüllung» der vietnamesischen Sicherheitsforscher nichts. Konkrete Angriffe erscheinen extrem unwahrscheinlich, weil sich bei den meisten Opfern der Aufwand nicht lohnen dürfte. Nichtsdestotrotz bleibt ein mehr als schaler Nachgeschmack. Apple ist gefordert. Denn wie heise.de richtig erinnert, wurde zu viel versprochen:
Hingegen hat der iPhone-Hersteller bereits vor dem Verkaufsstart des iPhone X offiziell darüber informiert, dass Face ID nicht immer zuverlässig zwischen nahen Verwandten unterscheiden könne. Die Wahrscheinlichkeit einer falschen Übereinstimmung sei insbesondere bei Zwillingen und Geschwistern grösser. Die Details dazu gibt's im Face ID Security Guide (PDF).
Auch zwischen Kindern und Eltern kann Apples Gesichtserkennung nicht immer klar unterscheiden, wie sich Mitte November zeigte. Ein Zehnjähriger konnte aufs iPhone X seiner Mutter zugreifen, wie die Familie gegenüber Wired schilderte.
Zuvor hätten mehrere Geschwisterpaare berichtet, dass sie in der Lage seien, das iPhone X des Bruders oder der Schwester zu entsperren, hielt heise.de fest. Allerdings sei dabei offenbar nach Fehlversuchen der PIN-Code eingegeben worden.
Vorläufig gilt:
Wer auf dem iPhone X sensible Informationen (Geschäftsgeheimnisse etc.) speichert oder über das Gerät darauf zugreift, sollte es durch ein sicheres Passwort (keinen sechsstelligen PIN) schützen. Gleichzeitig müsste wohl oder übel die automatische Gesichtserkennung deaktiviert werden – selbst wenn dies die Benutzerfreundlichkeit natürlich massiv beeinträchtigt.
So lautet auch die offizielle Empfehlung:
PS: Bkav schreibt auf seiner Website, dass es nicht nur die führende Sicherheitsfirma Vietnams sei, sondern auch ein Smartphone-Hersteller. Tatsächlich ist beim 2017 lancierten Bphone lediglich ein Fingerabdruck-Scanner verbaut.
Sollte Apple eine offizielle Stellungnahme veröffentlichen, werden wir den Artikel entsprechend ergänzen.
Wie Mac Observer berichtet, hat das Unternehmen mehrere neue Promo-Videos zur Gesichtserkennung veröffentlicht. Damit wird unter anderem die Benutzerfreundlichkeit angepriesen:
