Face ID mit Maske überlistet | Bkav

28. November 2017

Moritz Krauss

Face ID erneut von Maske überlistet: Gesichtserkennung unsicherer als Touch ID

Sicherheitsforscher konnten Face ID erneut umgehen. In einem neuen Video zeigt die vietnamesische Firma Bkav diesmal detailliert, welche Funktionen von Face ID aktiviert sind. Das Ergebnis ist erschreckend: Das iPhone X lässt sich bei höchster Sicherheitsstufte von einer Maske austricksen. Die Experten warnen davor, dass Face ID unsicherer sei als Touch ID.

Seit dem Verkaufsstart des iPhone X Anfang November sorgt Face ID regelmäßig für Schlagzeilen. Nicht nur Zwillinge konnten demnach problemlos gegenseitig ihre iPhones entsperren, sogar ein Sohn konnte in das Device seiner Mutter eindringen. Zugegeben, im letzteren Fall sorgte eine Verknüpfung unglücklicher Umstände dazu, dass Face ID die beiden nur unzuverlässig auseinanderhalten konnte.

Allerdings haben bereits Mitte November vietnamesische Sicherheitsexperten gewarnt, Face ID sei nicht für Personen geeignet, die höchsten Schutz benötigten würden. Grund: Den Sicherheitsforschern von Bkav war es erstmals gelungen, eine 3D Maske zu erstellen, die das iPhone X entsperren kann. Die Ergebnisse waren jedoch höchst umstritten. Einerseits weigerte sich Bkav Face ID neu einzurichten, andererseits war unbekannt, auf welcher Sicherheitsstufe das iPhone operierte.

In einem zweiten Anlauf möchte Bkav jetzt beweisen, wie „einfach“ sich Face ID scheinbar umgehen lässt. In einem neuen Video zeigen die Vietnamesen zunächst die Einrichtung von Face ID, anschließend wird das Gerät von der zugehörigen Person entsperrt. Eine neue 3D-Maske, die aus detaillierten Bildern der Person erstellt wurde, war nun in der Lage, das iPhone X ohne Fehlversuch zu entsperren. Bereits auf den ersten Anlauf hat das Device den künstlichen Nutzer akzeptiert. Die 3D-Maske besteht laut Bkav aus Steinpulver, die Augen wurden mit 2D-Infrarotbildern überklebt.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„Mặt nạ „sinh đôi nhân tạo“ của Bkav đánh bại Face ID: Không dùng Face ID trong giao dịch thương mại“ direkt öffnen

In dem neuen Video sind zudem erstmals die Sicherheitseinstellungen zu sehen. Die Aufmerksamkeitsprüfung, die verhindern soll, dass Face ID von 2D-Bildern ausgetrickst wird, war aktiv. Diese Funktion prüft zudem, ob der Nutzer wirklich auf sein Gerät schaut oder möglicherweise die Augen geschlossen hat. Nur wenn der Benutzer auf sein iPhone schaut wird der Zugang gewährt, was in diesem Fall aufgrund der nachgestellten Infrarotaugen kein Problem darzustellen scheinte. Bkav warnt davor, Face ID bei „geschäftlichen Transaktionen“ zu verwenden, da die Gesichtserkennung dafür schlicht zu unsicher sei.

Laut dem Experten sei das verwendete Material für jeden zugänglich, insgesamt habe die Maske einen Gegenwert von 200 US-Dollar. Auch wenn sich Face ID demnach recht leicht umgehen lässt, gibt es weitere Hindernisse: Face ID-„Hacker“ benötigen nicht nur das iPhone X, müssen mehrere hundert Dollar investieren, sondern müssen zudem detaillierte Gesichtsaufnahmen von dem Inhaber besitzen. Bkav warnt insgesamt dennoch davor, dass Face ID unsicherer sei, als Touch ID. Schließlich, so die Forscher, sei es deutlich leichter aus einigen Meter Entfernung Bilder anzufertigen, als an einen Fingerabdruck zu gelangen.

It can be said that, until now, Fingerprint is still the most secure biometric technology. Collecting a fingerprint is much harder than taking photos from a distance. Meanwhile, just by taking photos from a distance to create 3D objects as mentioned above, both Apple’s Face ID and Samsung’s Iris Scanner can be bypassed easily. – Bkav

Jetzt seid ihr gefragt: Wie schätzt ihr die Lage von Face ID ein? Apple verspricht einen Risikofaktor von gerade einmal 1:1.000.000, während bei Touch ID eine Fehlerrate von 1:50.000 angegeben wird. Zu viel „heißer Wind“ wegen nichts oder doch berechtigte Sorgen? Wir sind gespannt.

Weitere Artikel

#apnp: iPhone X | Edward Snowden | YuTube | Banking-Apps | Vodafone | iMac Pro – #apnp vom 27.11.2017

iPhone X: Apple bewirbt mit neuen Werbespots Animoji und Face ID

29 Gedanken zu „Face ID erneut von Maske überlistet: Gesichtserkennung unsicherer als Touch ID“

  1. Warum redet ihr als so einen Mist?! Das ist doch dadurch nicht unsicher, denn außer zu Testzwecken kann die Masken Methode nich angewendet werden. Kein Mensch kann in dein Handy, da er eine Maske ohne Unterschied zum Nutzer dabei hat und kein Dieb kann eine Maske nachmachen, die es kann!!! Und wenn wäre diese teurer als das geklaute Handy!!
    • Guten Morgen AppleLinus, wir reden keinen Mist, ich habe lediglich die Meinung von den Sicherheitsforschern wiedergegeben ;-). Denen ihrer Meinung nach ist Face ID unsicherer, als Touch ID. So, wie es in einem der letzten Absätze in dem Artikel steht. Viele Grüße Moritz
      • Hallo Moritz um Touch ID zu umgehen brauch ich nur den Fingerabdruck von einem Glas Wasser das der Nutzer zuvor in der Hand gehabt hat oda einfach den Fingerabdruck vom Bildschirm herunter nehmen und in einer Geleeform gießen ist mit Produktionskosten von unter 20€ verbunden (wurde nur nebenbei von euch berichtet beim Start von Touch ID) und es muss kein genaues 3D Profil von dem Gesicht erzeugt werden und neu gegossen werden muss in einem Verfahren das sicher jenseits der 400€ liegt also leg ich dir nahe bevor du etwas postest mal kurz nachzudenken wie realistisch das ganze ist was irgendwer irgendwo angeblich verbreitet hat. Wie mein bester Kumpel Trump immer sagt #FAKENEWS 😂😂😂
      • Servus Moritz, du siehst ja die anderen Kommentare. Anscheinend ist der Rest eher meiner Meinung. Es wird niemals ein iPhone X ohne Einverständnis des Eigentümers über solch eine Methode entsperrt werden. Wenn ich die Maske Einscannen oder eine ähnlich dumme Aktion starrte, hat Face ID ja garkeine ändere Möglichkeit, als einen Fehler zu machen.
      • Du machst dich hier gerade schrecklich unsympathisch. Kannst du AppleLinus Meinung nicht respektieren. Ich finde es auch völligen Quatsch.
      • Lieber Moritz Krauss ….sry das ich das so sagen muss aber genau so wurde Trump zum Präsidenten. Richtig wäre wenn man einiges hinterfragt was so in der Tagespresse steht. Denn es geht hier auch etwas um den Ruf einer Weltfirma. Hier behaupten ein paar Leute das wichtigste Sicherheitsmittel einfach aushebeln zu können in dem man mal schnell ein Photo von jemand macht durch eine App einen 3D Scan anfertigt , schnell mal mit einem Drucker ( kostet mindestens 15000€) eine Maske anfertigt und damit das iPhone entsperrt. Hier sollte man wirklich etwas mehr ….fingerspitzengefühl haben und nicht einfach abschreiben was andere getan haben. Bewiesen ist nämlich nichts davon und es gibt genügend Tricks die sowas zulassen. Ich bin kein Applefanboy und habe auch keine wirklich wichtigen Daten auf dem iPhone aber ich fühle mich sehr sicher damit. Auch wenn es eine Illusion ist zerstört man diese damit wenn man ständig versucht diese zu hintefragen. Dies solltet ihr besser mit solchen Informationen tun. Danke !
      • @Gast Trump wurde zum Präsident gewählt, weil Vietnamesen Face ID mit einer Maske entsperrt haben? Beeindruckend. Wir müssen wohl die Geschichtsbücher neu schreiben!
      • Nein, nur wegen Menschen wie dich, die oberflächlich lesen und den tieferen Sinn darin nicht verstehen (wollen). Ob man ihn recht gibt oder nicht, aber was er damit gemeint hat müsste normalerweise auch dem dümmsten klar sein…..
  2. Es ist natürlich schon ein enormer Aufwand notwendig, wenn man Face ID überlisten möchte. Insofern wird dies in der Praxis doch eher eine untergeordnete Rolle spielen. Viel schlimmer finde ich, dass Apple ja angeblich mit renommierten Maskenbildnern Face ID getestet haben will und Face ID ja als mit Masken nicht zu knacken angepriesen wurde. Das finde ich erstaunlich oder war es wieder nur Marketing-Geblubber?
  3. Für den Otto Normalverbraucher meiner Meinung nach heiße Luft…sehr hoher Aufwand (auch Kosten) unter sehr speziellen Bedingungen. Wenn es mit einem Foto ginge, wäre es etwas anderes. Für sehr sicherheitsrelevante Dinge ist es vielleicht etwas anderes, aber bei solchen Sachen wäre Touch ID demnach auch nicht besser gewesen.
  4. Also bei mir konnte noch kein Kollege das iPhone entsperren ob mit Touch- oder Face ID. Und wenn sich jemand für ein paar Tausend Fr.(Apple Pay) oder meine Daten sich den Aufwand macht mich zu spionieren, eine Maske anfertigen lässt und dann noch mein Handy klaut. Hat er es sich verdient. Also für den normalen Verbraucher ist das halb so schlimm wie es hier hochgekocht wird.
  7. „Schließlich, so die Forscher, sei es deutlich leichter aus einigen Meter Entfernung Bilder anzufertigen, als an einen Fingerabdruck zu gelangen.“ Und das notwendige Equipment für Foto + Maske ist deutlich teurer. Und an eine Fingerabdruck kommt man viel leichter, denn alle fassen Gegenstände an. Und man kann auch ganz einfach den Typen kidnappen. Und was soll die ganze Aufregung. Vietnamesen können Masken herstellen. Mit einem 3D-Drucker. Ist ja toll, sie waren in den Medien. Und Apple wird bestimmt eine Verbesserung per Software nachreichen, ohne das wir das merken. Und eigentlich ist das hier für die Nutzer ganz unwichtig.
  8. Und eine Bestätigung durch andere Firmen gibt es noch nicht. Ergo eine Behauptung. Wissenschaftlich muss alles gegen kontrolliert werden von unabhängigen Institutionen. Solange dies nicht geschehen ist ist es einfach nur eine Behauptung.
  10. Der Aufwand hält sich für Normalsterbliche in erstaunlich engen Grenzen: Eine DSLR mit Teleobjektiv ist nicht gerade selten, auch in Privathaushalten. Mit ’nem 300mm bekomme ich gestochen scharfe Gesichtsbilder aus 100m Entfernung. Mit ein wenig Software wird daraus ein 3D-Modell, dass sich bei mittlerweile vielen Anbietern zum kleinen Preis 3D-drucken lässt. Im Gegensatz zu den Experten aus dem Video muss die Erfolgsquote längst nicht bei 100% liegen. Klar – jedes „gefundene“ iPhone lässt sich nicht mal eben so entsperren, aber wem die Daten ein paar Euro wert sind, der hat mit Face ID keine wirkliche Hürde.
    • … und wenn das dann alles nach Tagen und etlichen Euronen erledigt ist komme ich endlich an die heiß begehrte Musik, Video und Fotosammlung eines Typen der das Telefon nur gemietet und keine Kohle auf dem Konto hat. —- Ganz großes Kino !!!
    • Sebastian….wir können diesen Versuch gern machen. Wird es nix zahlst du meine Reisekosten .Ich danke das die Redaktion hier gern zu einem treffen führt und dies mit einem Fotographen und Reporter begleitet. Ich behaupte auch das die von dir beschriebene Hürde sogar sehr hoch ist und wenn überhaupt nur unter Laborbedingungen und absolut 100%igen Daten funktioniert und die bekommst du in freier Wildbahn nie.
  11. ich bezweifle das sich so ein 3d Model mit nur 3 4 Fotos egal aus welcher 2d Kamera anfertigen lässt. Da fehlt jegliche tiefen und Oberflächeninformation . Wenn ein 3d Scanner benutzt wird mag es gehen . Aber mal ehrlich, Die Maske sieht schon sehr detailliert aus . Ich glaube schon das Face Id sicherer ist . Ein Fan davon bin ich noch lange nicht . Ich möchte nicht das mein Telefon nur durch angucken entsperrt wird .
  12. Wenn ich zu einem Geheimdienst gehöre, mach doch keine Tausend Fotos und versuche eine 3D-Maske herzustellen, da hau ich dem eine auf die Fresse und halte ihm das Smartphone vors Gesicht. Aber die meisten Lämmer folgen ihren Despoten ohnehin freiwillig. Fakt ist, dass dir der Tischnachbar im Restaurant oder der Taschendieb am Bahnhof gar nix kann. Und darum geht es. Einen Fingerabdruck kann ich leicht erzwingen, wenn ich körperlich überlegen bin, aber den Blick mit offenen Augen in die Kamera nur schwerlich. Alles kann geknackt werden, die Frage ist, ob sich die Mühe lohnt, unter welchem Aufwand. Ich kann so eine Maske sicher nicht herstellen.
  14. TouchID war schon sehr sicher entgegen aller anderen auch hier veröffentlichten Informationen dazu. Es konnte bis heute nicht wirklich nachgewiesen werden das man von einem Glas oder Spiegel einen brauchbaren Fingerabdruck nehmen konnte um davon ein Negativ für eine Gummiform herzustellen. ( Alles nur unter Laborbedinungen) FaceID ist noch sicherer. Ich behaupte das diese Firma es nicht hinbekommt wenn ich es nicht will mit meinem Gesicht …mein iPhone x zu entsperren. 5 Fehlversuche und es ist vorbei und das bekomme ich jederzeit hin. Sicherheit lässt sich nicht hunterprozentig erzeugen wenn es jemand ernsthaft darauf anlegt. Dies würde auf kosten der Nutzbarkeit gehen. Deshalb ist der Kompromiss von Apple das derzeit mit großem Abstand beste Angebot.
  15. Was ich mich frage ist , wo kommt die motivation einer vietnamesischen Firma her 4-6 Mitarbeiter abzustellen die über mehrere Wochen teure 3D Masken herstellen , tausende Versuche machen nur um allen zu zeigen das man FaceID mit extremen Mitteln austricksen kann ?
  16. Mit der Sicherheit ist das so eine Sache: für Apple sind sowohl TouchID, als auch FaceID, gewiß eine feine Sache – kommt man doch so leicht(er) an (hochindividuelle) Daten des Users – der, wiederum, hierdurch gea….. ist. …
  17. Werter Moritz Krauss, leider finde ich die Art der Berichterstattung auch eher wenige optimal. Die Firma, welche diese Masken hergestellt hat, musste ordentlich Aufwand betreiben. Dass es sich hier um eine Firma handelt, die zwar im Bereich IT-Sicherheit unterwegs ist, deren Zielsetzung schlicht Presseecho ist, sei mal am Rande bemerkt. Ich halte die reißerischen Berichte für völlige Panikmache. Ein sicheres biometrisches Verfahren kostet etwas mehr, als das iPhone X. Dennoch ist das Verfahren für Nirmalsterbliche mehr als sicher genug. Ich möchte die Redakteure bitten, etwas mehr Recherche zum Thema Biometrie zu betreiben und dann dien großen „Skandal“ mal durch sachbezogene Artikel zu relativieren. Im Übrigen gilt das auch für diverse Mitforisten. Wenn man eine Technik nicht versteht, dann sollte man sich erst schlau machen, bevor man sinnfrei rumtrötet !

Die Kommentare sind geschlossen.