Face ID beim iPhone X mit Maske überlistet

Vietnamesische Sicherheitsforscher zeigen in einem Video, wie sie Face ID, die Gesichtserkennung des iPhone X, mit einer relativ einfachen Maske überwinden. Die Forscher der Firma Bkav beschreiben außerdem ihr Vorgehen und beantworten dazu gestellte Fragen.

Der Face-ID-Hack konnte von anderen Sicherheitsforschern noch nicht bestätigt werden. Bkav kann allerdings darauf verweisen, dass seine Mitarbeiter schon 2009 gezeigt haben, wie sich die Gesichtserkennung bei Notebooks von Herstellern wie Asus, Lenovo und Toshiba austricksen mit zweidimensionalen Bildern vom Gesicht des Nutzers austricksen lässt. Inzwischen bietet das Unternehmen mit Bphone auch ein eigenes Smartphone an. Das bewirbt es mit den “fortschrittlichsten Sicherheitstechnologien im OS-Kernel”.

Details will Bkav im Laufe der Woche auf einer Pressekonferenz bekannt geben. Bisher haben sie erklärt, dass ein handelsüblicher 3D-Drucker verwendet wurde, um wesentliche Teile der Maske zu fertigen. Die Nase wurde allerdings von Hand aus Silikon geformt und musste nachgebessert werden. Auch die “Haut” wurde von Hand gefertigt. Weitere normalen Drucker. Die Maske hat die Forscher eigenen Angaben zufolge rund 150 Dollar gekostet.

“Ohne eine gewisse Expertise in Sicherheit ist es ziemlich schwierig, die ‘richtige’ Maske zu machen”, schränken die Bkav-Forscher jedoch ein. Ansatzpunkt sei eine Schwäche der künstlichen Intelligenz, die Apple als Grundlage für Face ID verwendet.

“Sie können das mit Ihrem eigenen iPhone X ausprobieren, das Telefon wird Sie sogar dann erkennen, wenn Sie eine Hälfte Ihres Gesichts verdecken”, so die Sicherheitsforscher weiter. “Das bedeutet, dass die Erkennungsmethode nicht so genau ist, wie man meinen sollte. Apple scheint sich zu sehr auf die KI von Face ID zu verlassen. Wir brauchen nur ein halbes Gesicht, um die Maske zu schaffen.” Apple habe grundlegende Forschung vernachlässigt, bevor es die Entscheidung traf, Touch ID durch Face ID zu ersetzen, so das Fazit der Sicherheitsforscher.

Apple hatte erklärt, die Gesichtserkennung sei um den Faktor 20 sicherer als Touch ID. Die Wahrscheinlichkeit, dass fremde Personen sie zufällig entsperren könnten, lieg bei 1 zu einer Million. Einen Bericht von Bloomberg, die Genauigkeit von Face ID sei reduziert worden, um Lieferengpässe zu vermeiden, hatte der Hersteller dementiert.

Allerdings geht Bkav davon aus, dass der Aufwand für die Herstellung der Maske im Alltag – etwa um einfach einmal einen Blick in das Smartphone der Freunin oder des Freundes zu werfen – doch zu groß ist. Lohnen könne es sich nach Ansicht des Unternehmens aber bei Firmenchefs, Mitarbeitern von Geheimdiensten oder Prominenten und Reichen. Die erforderlichen 3D-Modelle ihrer Gesichter ließen sich durch Smartphones mit 3D-Scan-Technik wie dem Sony XZ1 oder einem unauffälliug in einem Raum aufgestellten 3D-Scanner produzieren.

[mit Material von Bernd Kling, ZDNet.de]