Apple iPhone X

Sicherheitsforscher überlisten FaceID mit einer Maske

Sicherheitsforscher der seit 1995 bestehenden Firma Bkav haben es geschafft, die biometrische Sicherheitstechnik FaceID am Apple iPhone X erfolgreich zu überlisten. Dafür wurde FaceID erst ganz regulär mit dem Gesicht eines Anwenders eingerichtet. Anschließend erstellte man mit einer Kombination aus 3D-Druck sowie zusätzlichem, handmodellierten Silikon eine Maske vom Gesicht des ursprünglichen Anwenders und konnte FaceID überlisten. 

Dafür muss der Besitzer des Apple iPhone X nicht etwa zu einem Gipsabdruck überredet werden. Laut Bkav genüge es, wenn man das Gesicht über einen 3D-Scanner oder über Smartphones mit entsprechenden 3D-Scanning-Funktionen, wie beispielsweise dem Sony Xperia XZ1, fotografiere. Auf Basis jener Bilder lasse sich bereits eine Maske erstellen, welche mit etwas zusätzlicher Arbeit FaceID schachmatt setzen könne.

Laut Bkav sei es sogar einfacher gewesen als gedacht, Apples FaceID auszutricken, da sich Apple zu sehr auf künstliche Intelligenz und Algorithmen verlasse. Alle Details enthüllt Bkav dabei allerdings nicht – vermutlich, damit das Nachahmen Kriminellen nicht direkt erleichtert wird. Stattdessen lege man hier ein Proof-of-Concept vor, dass Apple aber auch die Kunden zum Nachdenken bringen solle. Denn auch wenn die Erstellung so einer Maske vielleicht Privatkunden aufgrund des Aufwands kaum gefährde, sei damit das Risiko für professionelle Anwender und Unternehmen nachgewiesen. Jene sollten sich keinesfalls auf FaceID als wirksame Sicherheitsmaßnahme verlassen.

Die Maske, mit der FaceID am Apple iPhone X ausgetrickst wurde, habe Bkav ca. 150 US-Dollar in der Erstellung gekostet. Diese Summe könne sich lohnen, wenn wertvolle Informationen auf einem Smartphone zu erwarten seien. Am Ende wolle man Apple mit der Demonstration nicht sozusagen vorführen, sondern lediglich warnen, dass FaceID noch nicht ausgereift genug sei, um ein Gerät ernsthaft zu schützen.