Face ID im iPhone X

9. August 2019

Roman van Genabith

Face ID-Angriff: Wie eine Brille und Klebeband die 3D-Erkennung beeinflusst

Face ID lässt sich unter bestimmten Umständen austricksen, das haben nun Forscher auf der Black Hat-Sicherheitskonferenz demonstriert. Der Trick ist allerdings recht exotisch und er erfordert, dass der Angreifer den Besitzer des iPhones in seiner Gewalt hat.

Face ID wurde nach seiner Einführung von Apple im Jahr 2017 mit dem iPhone X von zahlreichen Sicherheitsspezialisten herausgefordert, die die Sicherheit des neuen Systems anzweifelten, Apfelpage.de berichtete. Zum Einsatz kamen hier zumeist Masken verschiednerr Machart. Die Qualität dieser Angriffe war sehr durchwachsen. Dann gab es noch die Zwillingsproblematik, die Apple irgendwann in Teilen indirekt einräumen musste, aber im großen und ganzen gilt das System als sicher. Das ändert sich auch durch die nun von Forschern beim IT-Konzern Tencent entdeckte Schwachstelle nicht grundsätzlich: Sie zeigten auf der Black Hat-Konferenz, wie sich Face ID teilweise umgehen lässt.

Eine Brille und Klebeband

Der Angriff der Tencent-Forscher setzt zu aller erst voraus, dass der Angreifer auf den Besitzer des iPhones zugreifen kann. Dessen Gesicht wird nach wie vor gebraucht, nur lässt sich das iPhone nun auch dann mit Face ID entsperren, wenn die Aufmerksamkeitserkennung aktiviert ist, was standardmäßig der Fall ist. Die Angreifer müssen dem Opfer hierfür eine Brille aufsetzen, die mit Klebeband beklebt ist. Eine Fläche aus schwarzem Tape, in der eine kleinere Fläche aus weißem Tape existiert, wird von Face ID als Augen identifiziert. – aber eben nur unter bestimmten Umständen. Face ID verfügt über eine Abstraktionsfähigkeit, die immer dann anspringt, wenn bestimmte Objekte im Gesicht eines Nutzers erkannt werden, wie etwa eine Sonnenbrille oder wenn das Umgebungslicht bestimmte Interferenzmuster aufweist. In dem Fall werden die 3D-Regionen der Augenpartie nicht komplett ausgewertet und dann genügt auch etwas, das so aussieht wie das bekannte 3D-Modell des legitimen Gesichts mit einer näherungsweise existierenden Augenpartie, um das iPhone zu entsperren.

Der ganze Angriff ist zwar ziemlich spannend aus einer technologischen Sichtweise, praxisnah ist er dagegen eher nicht. Wenn ein Angreifer bereits das Opfer in seiner Gewalt hat, wird sich dieses wohl so oder so nicht auf Dauer dessen Wunsch verschließen können, sein iPhone für ihn zu öffnen.

Weitere Artikel

Apple Card ist ein Hit: Verbraucher in den USA werden auch ohne Werbung auf sie aufmerksam

Apple Weekend: iPads, MacBook Air, iMac und Original Zubehör reduziert!

10 Gedanken zu „Face ID-Angriff: Wie eine Brille und Klebeband die 3D-Erkennung beeinflusst“

  1. Fazit: Es ist sicher außer man hat die Person wo das iPhone gehört, und kann es dann ja so oder so aufmachen. (Zwang) da hat Apple gute Arbeit geleistet. 👍🏻
  3. Wenn ich eine Person in meinem Gewahrsam habe, dann foltere ich sie doch einfach bis sie mir den PIN-Code verrät. Was für eine Schwachsinnsforschung! Muss man echt jede halbwegs gut funktionierende Technologie immer irgendwie schlecht machen? Gibt es keine bessere Verwendung für Forschungsgelder mehr?
  4. LOL das ganze funktioniert also deshalb weil man bei dem eh schon zwangsfestgehaltenen Besitzer es nicht geschafft hat ihn zu geöffneten Augen zu zwingen, aber man hat es geschafft dass er mit einer Augenfakebrille zumindest einen Moment lang ruhig sitzen blieb??… arme Irre
  5. In anderen Berichten, und auch wohl in der originalen „Aufgabenstellung“, wird nicht von Zwang ausgegangen, sondern von einer schlafenden Person. Und damit soll es den Forschern möglich gewesen sein auch Geld zu transferieren. So könnte man dann auch an eine kurzfristige Taschengelderhöhung gelangen… ;) Das ist zwar immer noch kein Angriffsszenario über dass man sich große Gedanken machen müsste (und Apple könnte mit der Schlafenszeitfunktion das Deaktivieren von Face ID in der Nacht automatisieren) aber wesentlich einfacher als körperlichen Zwang auszuüben.
    • Abstrakter Tiefschlaf🤪 wahrscheinlich nach Rohypnol-Party. Genauso irreal wie die Darstellung der – vermeintlich – abgewandelten „Nacherzählung“
  6. Das ist dann für eifersüchtige Menschen… Die nehmen nicht mehr den Daumen ihres schlafenden Partners um in dessen iPhone zu kommen, sondern basteln ganz professionell eine Brille und setzen sie dem schlafenden Opfer auf… Muahahaha… *räusper* 🙈

Die Kommentare sind geschlossen.