FaceID mit Maske überlistet
Haben Hacker das iPhone X geknackt?

Die vietnamesische Sicherheitsfirma Bkav will die Gesichtserkennung des iPhone X mit einer Maske überlistet haben. Stimmt das wirklich, wäre das ein Desaster für Apple.
Publiziert: 13.11.2017 um 12:36 Uhr
|
Aktualisiert: 28.09.2018 um 19:31 Uhr
Lorenz Keller

Sicherer als der Fingerabdruck-Scan: So bewirbt Apple die Gesichtserkennung des iPhone X. FaceID ist ein Verkaufsargument, da tatsächlich bislang kein anderes Handy so präzis und gut Gesichter unterscheiden kann. Wichtig ist FaceID auch, da es auf dem neuen iPhone die einzige Alternative zum unkomfortablen Eintippen eines Pincodes ist.

Natürlich fordert die neue Technik Hacker und Sicherheitsfirmen heraus, welche die Gesichtserkennung möglichst rasch knacken wollen. Nicht zuletzt, weil man damit weltweit Aufmerksamkeit erhält. Die ersten Versuche mit in Hollywood gefertigten 3D-Masken scheiterten. Einzig bei eineiigen Zwillingen und Kindern hat FaceID Mühe – was Apple aber auch von Anfang an transparent gemacht hat.

Nun will die vietnamesische Sicherheitsfirma Bkav die Gesichtserkennung bereits umgangen haben. Wie Bkav auf ihrer Webseite schreibt, konnten die Sicherheitsexperten ein iPhone X mit einer Maske entsperren. Diese ist nicht mal besonders genau, sondern eine Kombination aus 3D-Druck, einer Silikon-Nase und simplen 2D-Fotoaufnahmen der Augen.

Die Maske kostete nur rund 150 Dollar

Beunruhigend sind ein paar Details, welche die Sicherheitsfirma veröffentlicht hat: So kostete die Maske nur rund 150 Dollar. Und gemäss Experten war das Überlisten einfacher als gedacht, weil FaceID unter anderem nur das halbe Gesicht scannt. Tatsächlich kann man das selber ausprobieren, in dem man einen Teil des Kopfes beim Entsperren abdeckt.

Normale Benutzer müssen sich allerdings kaum Sorgen machen, denn das Verfahren ist trotzdem sehr komplex. So sind etwa die Nase und die Haut der Maske von einem Spezialisten handgefertigt. Und natürlich braucht es einen detaillierten Scan des Gesichts, bevor man es mit einer Maske nachbilden kann. Gemäss Bkav sei die Gesichtserkennung aber für Milliardäre, Firmenchefs, Mitarbeiter von Geheimdiensten oder Regierungen nicht als Sicherheitstool geeignet. Der Fingerabdruck sei nach wie vor sicherer.

Insgesamt bleiben noch einige Fragen offen – die Bkav in einer Pressekonferenz später diese Woche beantworten will. Etwa, ob FaceID bei der Erstellung des Gesichtsprofils «geschwächt» wurde. Dieser Fehler ist in mehreren Youtube-Videos zu sehen, in denen Brüder oder ähnlich aussehende Personen das iPhone X entsperrt haben wollen.

Viele Fragen offen, aber die Sicherheitsfirma hat einen guten Ruf

Denn die Gesichtserkennung im iPhone X lernt dazu, jedes Mal, wenn man durch Eingabe des Codes bestätigt, dass dies wirklich der echte Benutzer ist. So kann man das iPhone zum Beispiel trainieren, ein Gesicht auch mit starker Schminke zu erkennen. Oder wenn man den Bart abrasiert hat. Allerdings kann man so auch die Kontrolle schwächen.

Bkav schreibt zwar, dass während der Erstellung der Maske kein Passcode genutzt wurde. Ob das auch bei der Erlernung des ursprünglichen Bildes der Fall war, ist aber unklar. So urteilt auch der Experte des Fachmagazins «Wired», dass man aufgrund der vorliegenden Daten nicht ausschliessen kann, dass etwas geschummelt wurde.

Die vietnamesische Sicherheitsfirma hat aber durchaus einen respektablen Ruf. So hat Bkav 2009 demonstriert, dass die Gesichtserkennung bei Laptops von Herstellern wie Lenovo, Toshiba und Asus nicht sicher ist. Die Resultate konnten damals nachvollzogen werden und wurden weitum anerkannt.

Bei FaceID steht dies noch aus. Doch sollte die Gesichtserkennung tatsächlich mit einer Maske umgangen werden, wäre das ziemlich blamabel für Apple. So meint etwa der «Wired»-Experte: «Wenn das alles bestätigt ist, bedeutet es, dass FaceID weniger sicher ist als TouchID.» Die Ablösung des Fingerabdruckscanners durch die Gesichtserkennung würde also keinen Sinn machen.

Externe Inhalte
Möchtest du diesen ergänzenden Inhalt (Tweet, Instagram etc.) sehen? Falls du damit einverstanden bist, dass Cookies gesetzt und dadurch Daten an externe Anbieter übermittelt werden, kannst du alle Cookies zulassen und externe Inhalte direkt anzeigen lassen.
Fehler gefunden? Jetzt melden
Was sagst du dazu?