iPhone X: Face ID lässt sich angeblich mit Maske aus 3D-Drucker überlisten

Ein Video zeigt die Entsperrung eines iPhone X durch eine einfache Maske. Vietnamesische Sicherheitsforscher geben an, die Gesichtserkennung durch eine Schwäche in Apples KI überwunden zu haben. Auf einer Pressekonferenz wollen sie weitere Details enthüllen.

Vietnamesische Sicherheitsforscher behaupten, dass die Gesichtserkennung von iPhone X weit weniger sicher ist als von Apple angegeben. In einem Video zeigen sie die offensichtliche Entsperrung eines mit Face ID gesicherten Geräts durch eine relativ einfache Maske. In einem Blogeintrag beschreiben die Forscher der Firma Bkav ihr Vorgehen und beantworten dazu gestellte Fragen.

Der Face-ID-Hack konnte noch nicht von anderen Sicherheitsforschern bestätigt werden, die sich teilweise skeptisch dazu äußerten. Bkav kann allerdings darauf verweisen, schon 2009 gezeigt zu haben, wie sich Gesichtserkennung bei Notebooks von Herstellern wie Asus, Lenovo und Toshiba austricksen ließ – mit nicht mehr als zweidimensionalen Bildern vom Gesicht des Nutzers. Auf der Hackerkonferenz Black Hat führte es damals schon vor, wie unsicher die Authentifizierung durch Gesichtserkennung sein kann. Inzwischen bietet das vietnamesische Unternehmen mit Bphone auch ein eigenes Smartphone an mit den „fortgeschrittensten Sicherheitstechnologien im OS-Kernel“.

(Bild: Bkav)

Weitere Details zur Überwindung von Face ID will Bkav noch in dieser Woche auf einer Pressekonferenz enthüllen. In einem folgenden Beitrag will das Unternehmen außerdem die Forschungsergebnisse veröffentlichen, die die Überlistung von Face ID mit einer Maske ermöglichten. Ihren Hack verstehen sie als Experiment, mit dem sie einen grundsätzlichen Beweis führen wollten. Die Erforschung weiterer Fragen soll später erfolgen.

Zum Einsatz kam zunächst ein handelsüblicher 3D-Drucker, um die wesentlichen Teile der Maske zu fertigen. Die Nase wurde von einem Kunsthandwerker aus Silikon geformt und musste noch etwas nachgebessert werden. Weitere Teile kamen aus einem 2D-Drucker. Die Haut wurde ebenfalls handgefertigt, um Apples KI zu täuschen, so die Sicherheitsforscher. Als Kosten für die Maske geben sie rund 150 Dollar an. Mit ihrer Arbeit begannen sie, nachdem sie das iPhone X am 5. November in die Hände bekamen.

Ähnliche und teilweise viel aufwendigere Versuche, Face ID mit einer Maske zu überwinden, scheiterten bislang. „Ohne eine gewisse Expertise in Sicherheit ist es ziemlich schwierig, die ‚richtige‘ Maske zu machen“, kommentiert Bkav und verweist auf eine Schwäche der künstlichen Intelligenz, die Apple im Zusammenhang mit Face ID bewirbt. „Wir konnten Apples KI überlisten, weil wir ihre Funktionsweise verstanden und sie umgehen konnten.“

Im Grunde sei alles ziemlich einfach gewesen. „Sie können das mit Ihrem eigenen iPhone X ausprobieren, das Telefon wird Sie sogar dann erkennen, wenn Sie eine Hälfte Ihres Gesichts verdecken“, schreiben die Sicherheitsforscher. „Das bedeutet, dass die Erkennungsmethode nicht so strikt ist, wie man meinen sollte. Apple scheint sich zu sehr auf die KI von Face ID zu verlassen. Wir brauchen nur ein halbes Gesicht, um die Maske zu schaffen. Es war sogar einfacher, als wir das selbst angenommen hatten.“ Apple habe grundlegende Forschung vernachlässigt, bevor es die Entscheidung traf, Touch ID mit Face ID zu ersetzen.

Was biometrische Sicherheit angeht, ist der Fingerabdruck laut Bkav nach wie vor besser. Apple hingegen hatte erklärt, dass seine Gesichtserkennung um den Faktor 20 sicherer ist als Touch ID. Die Möglichkeit einer zufälligen Entsperrung durch eine fremde Person gab der iPhone-Hersteller mit 1 zu einer Million an. Er dementierte auch einen Bericht von Bloomberg, die Genauigkeit von Face ID sei verringert worden, um Lieferengpässe beim Jubiläumsmodell iPhone X zu vermeiden.

ANZEIGE

Aktuelle Studie zur Dokumentensicherheit in deutschen Büros

Eine aktuelle Statista-Umfrage (im Auftrag von KYOCERA Document Solutions) hat ergeben: Der deutsche Mittelstand hat Nachholbedarf beim Thema Dokumentensicherheit. Mehr als die Hälfte der befragten Mitarbeiter hat Zugriff auf Dokumente, die nicht für sie bestimmt sind. Weitere Infos und Tipps zur Optimierung erhalten Sie im gratis E-Book.

Allerdings geht auch Bkav nicht davon aus, dass der durchschnittliche iPhone-Nutzer gefährdet ist, wenn er sich auf die Authentifizierung mit Apples Gesichtserkennung verlässt – dazu sei der Aufwand für die Herstellung der Maske im wirklichen Leben doch zu groß. Ins Visier könnten aber Milliardäre, Firmenchefs und die Mitarbeiter von Geheimdiensten kommen. Künftig könnte es jedoch noch einfacher werden, 3D-Modelle zu schaffen: „Wir könnten Smartphones mit 3D-Scan-Technik wie Sony XZ1 nutzen. Oder einen 3D-Scanner in einem Raum aufstellen, ein paar Sekunden reichen für den Scan.“

Themenseiten: Apple, Authentifizierung, Biometrie, Security, Sicherheit, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu iPhone X: Face ID lässt sich angeblich mit Maske aus 3D-Drucker überlisten

Kommentar hinzufügen
  • Am 14. November 2017 um 10:09 von M@tze

    Ach kommt Leute, jetzt wird es albern. Es mag sein, dass die reinen Kosten für die Herstellung (in Vietnam!) 150$ betragen, aber was ist mit der ganzen technischen Expertise?! Ich brauche einen Scan vom Gesicht, einen 3D Drucker, eine Silikonnase von einem Kunsthandwerker und handgefertigte Hautimitate? Na klar, das ganze Zeug hat jeder in seinem Bastelkeller zu Hause liegen… Und das soll einfacher sein, als (heimlich?) einen Fingerabdruck zu nehmen? Ich finde FaceID jetzt auch nicht den Bringer, aber immer noch besser als PINs wie „1234“, „0000“ oder eine Wischgeste in „L“ Form, wie es 90% der Leute verwenden.

    • Am 15. November 2017 um 7:06 von Antiappler

      Es geht ja nicht um die Leute wie Du einer bist, sondern um Leute, die böse Absichten, die nötige Kohle und Zugriff auf die restlichen Dinge haben.
      Außerdem ist allein die Möglichkeit, dass man so etwas bei Politikern, Führungskräften von Firmen, oder Wissenschaftlern machen könnte, wo Aufwand und Kosten im Verhältnis zum Ertrag gar keine Rolle spielen, schon sehr bedenklich. Vor allem nach dem ganzen Brimborium, was über FaceID veranstaltet wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *