Werbung
Bereits kurz nach Erscheinen des iPhone X konnten Sicherheitsforscher aus Vietnam die Face-ID-Sensorik mit einer Maske überlisten. Dazu war allerdings eine 3D-Druck-Maske notwendig, die etwa 150 US-Dollar in der Herstellung kostet. Touch ID konnte deutlich einfacher überlistet werden und auch für den Iris-Scanner des Samsung Galaxy S8 reichten eine Infrarot-Aufnahme des Auges und ein Laserdrucker aus.
Nun haben die Sicherheitsforscher nachgelegt und wollten Face ID auch mit aktiviertem Aufmerksamkeitsprüfung überlisten. Diese prüft, ob der Nutzer auch auf das Display schaut. Ist die Aufmerksamkeitsprüfung aktiviert, reicht ein einfaches Vorhalten eines Gesichts nicht mehr aus.
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen Sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
Ihr Hardwareluxx-Team
Youtube Videos ab jetzt direkt anzeigen
Dazu mussten die Forscher ihre Maske aber weiter verbessern. So findet der Druck weiterhin mit einem 3D-Drucker statt. Bei diesem kommt ein Steinmehl zum Einsatz, was die Oberfläschenstruktur der Maske verbessern soll. Außerdem wurden die Augenpartien mit 2D-Infrarot-Aufnahmen nachgebildet. Die 3D-Aufnahmen des Gesichtes und die 2D-Infrarot-Aufnahmen der Augenpartien ließen sich recht einfach im Vorbeigehen erstellen. Die Anfertigung der Maske ist jedoch etwas aufwändiger und soll etwa 200 US-Dollar kosten. Der Zeitaufwand soll neun bis zehn Stunden betragen.
Im Video wird demonstriert, wie das Face ID auf dem iPhone X mit dem echten Gesicht und aktivierter Aufmerksamkeitsprüfung eingerichtet wird. Danach erfolgt das Entsperren über die Maske im ersten Versuch. Die Sicherheitsforscher sehen Face ID in dieser Umsetzung also als kritische Sicherheitslücke an.
Face ID und andere Mechanismen bleiben unsicher
Eine hundertprozentige Sicherheit gibt es nicht. Daran ändert auch Face ID nichts, allerdings war dies von Anfang an bekannt. Es ist immer eine Frage des Aufwandes. Während Touch ID und die bisher verwendeten Iris-Scanner sich noch reicht leicht überlisten ließen, muss für Face ID etwas mehr Aufwand betrieben werden. Für den privaten Bereich ist eine Absicherung mittels Face ID oder Touch ID immer noch besser als gar kein Kennwert oder viermal die Null.
Personen, die sensible Daten auf ihrem iPhone X umhertragen, sollten anstatt auf Touch ID, Face ID oder andere Entsperrungsmechanismen auf Basis von Biometrie lieber ein möglichst komplexes Passwort verwendet. Dies ist der Bequemlichkeit sicherlich nicht zuträglich, Sicherheit ist aber auch immer ein Kompromiss.