Das iPhone X wurde dieses Jahr im September vorgestellt und kam Anfang November auf den Markt. Besonders die neue Sicherheitseinrichtung „Face ID“ stand im Mittelpunkt der Werbung. Damit kann das Gerät mit Gesichtserkennung authentifiziert und freigeschaltet werden via Frontkamera. Ganz praktisch für den herkömmlichen Nutzer – aber wohl nicht für diejenigen die einhundertprozentige Sicherheit suchen. Denn die bietet Face ID leider nicht, wie vietnamesische Sicherheitsforscher nun beweisen konnten.

Video-Urheberrechte: http://www.bkav.com

Das hatte Apple allerdings schon bei der Vorstellung des neuen iPhone X empfohlen: Das Unternehmen sagte sinngemäß, wer einen hinterlistigen Zwilling haben sollte, sollte sein Gerät mit einem Passwort wirklich gut schützen. Und weiter:

„Bei Sicherheitsbedenken, empfehlen wir die Verwendung eines Passcodes zur Authentifizierung.“

Sicherheitsexperten des vietnamesischen Unternehmens Bkav haben seit der Auslieferung von Apples neuem iPhone vorhergesagt, dass es auf Basis ihrer Grundlagenforschungen und Analysen möglich wäre, das Face ID auszuhebeln. Gleich nach Auslieferung testeten sie daher das neue Gerät entsprechend, um ihre Voraussagen unter Beweis zu stellen. Nur zwei Wochen nach Auslieferung des iPhone X war es dann so weit. Bkav war in der Lage, Apple‘s Face ID in etwa 10 Stunden zu überlisten.

Wie war den Forschern das gelungen? Bkav hatte in Prinzip eine Maske des Nutzers kreiert. Sie nannte sie „the artificial twin“ zu Deutsch, „den künstlichen Zwilling“. In einem zweiten Experiment verwendeten die Bkav Forscher dann eine 3-D-Maske, hergestellt aus Steinpulver, und klebte 2-D-Bilder der Augenpartien darauf. Das wirkte sogar noch besser als beim vorherigen Versuch. Die 2-D-Bilder der Augen waren übrigens ausgedruckte Infrarotbilder. Damit verwendeten die Forscher die gleiche Technologie, mit der Apple’s Face ID arbeitet und das Gesichtsbild erkennt.

Nebenbei bemerkt: Die verwendeten Materialien und Werkzeuge sind für jeden frei erhältlich und kosten nicht einmal viel – insgesamt nur 200 US-Dollar. Im iPhone X wurden die höchsten Sicherheitsoptionen aktiviert, dann das Gesicht des Besitzers registriert, um damit die Gesichts-ID einzurichten. Anschließend wurde es sofort vor die Maske gehalten und das iPhone X entsperrte sich auf Anhieb. Im zweiten Versuch war es möglich, die Sicherheit sehr viel schneller zu knacken.

Herr Ngo Tuan Anh, Bkavs Vizepräsident für Cybersicherheit, sagte anschließend:

„Die Face-ID ist nicht sicher genug, um im Geschäftsverkehr verwendet zu werden. Sie enthält eine wirklich kritische Sicherheitslücke.“

Ferner sagte er, dass die Gesichtserkennung nicht die einzige Sicherheitsgrundlage für Face ID sein sollte. Eine doppelte Sicherung wäre angebracht, wenn wirklich sensible Daten auf dem Spiel stehen.

Die Forscher von Bkav erklärten, dass die Herstellung der 2-D- und 3-D-Modelle im Prinzip recht einfach sei. Wer es darauf anlegt, kann in kurzer Zeit Fotos von dem Betroffenen machen. Beispielsweise mit ein paar zuvor aufgestellten Kameras. Die Fotos können kann in ein 3D Modell umgerechnet werden. Die Forscher sind der Ansicht dass der Fingerabdruck als Authentifizierungsoption immer noch die sicherste Methode für die Datensicherung sei. An einen Fingerabdruck zu kommen, sei sehr viel schwieriger. Sie merkten auch an, dass der von, Samsung verwendete Irisscanner ebenfalls sehr leicht umgangen werden kann.

Artikel von bkav.com, 27.11.2017: Bkav’s new mask beats Face ID in „twin way“: Severity level raised, do not use Face ID in business transactions

Urheberrecht Beitragsbild: shutterstock.com