iPhone X: Face ID lässt sich mit Maske austricksen

Face ID ist die große Neuerung schlechthin beim iPhone X. Das seit Jahren eingesetzte und zuverlässig funktionierende Touch ID wurde kurzerhand entfernt, stattdessen wird das Gesicht zum Schlüssel ins iPhone. Apple klärte bereits im Vorfeld der Verfügbarkeit von Face ID darüber auf, sicherer als Touch ID soll es sein, aber unter bestimmten Umständen auch nicht funktionieren. Wie das mit neuen Sicherheitsfunktionen so ist, werden diese natürlich auf den Prüfstand gestellt – und nun wurde Face ID auch ohne Gesicht überwunden.

Sicherheitsforscher aus Vietnam haben Face ID nun mit einer Maske geknackt, allerdings ist der Aufwand doch relativ hoch. Zwar benötigt man theoretisch nur ein halbes Gesicht, denn Face ID funktioniert auch, wenn das Gesicht teilweise bedeckt ist, dennoch muss die Maske natürlich den Proportionen entsprechen, wie sie das gescannte Gesicht aufweist.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://youtu.be/i4YQRLQVixM

Gefertigt wurde die Maske aus verschiedenen Materialien, teilweise über 3D-Druck, teilweise per Hand modelliert. Unklar und auch nicht von den Forschern erwähnt: Ob die Blickerkennung aktiviert ist, die Face ID erst aktiviert, wenn der Nutzer aus auf das iPhone X schaut. Denn auf der Maske sieht es zwar nach geöffneten Augen auf, aber das sagt noch nichts darüber aus.

Erinnert man sich zurück an Touch ID, das sich anfangs recht einfach hat überwinden lassen, sieht die Gesichtserkennung dennoch nicht unbedingt unsicherer aus. Auch wenn Bkav das gerne so kommuniziert. Von den „Opfern“ benötigt man entweder einen 3D-Scan des Gesichtes, man kann die Maske aber auch anhand von zweidimensionalen Bildern anfertigen, ist nur eben etwas aufwändiger.

Die Forscher sehen ihre Maske als Proof of Concept, stufen Face ID dadurch als unsicherer ein als Touch ID. Den normalen Nutzer dürfte das wenig anheben, zu aufwändig ist die Prozedur, zu uninteressant die Smartphones der meisten Leute. Immerhin scheint Face ID ja trotzdem schwerer zu überwinden zu sein als andere Gesichtserkennungen, die bereits mit einem einfachen Foto überlistet werden können.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Weshalb unsicherer als TouchID?

  2. Quintessenz des Kommentares am Ende:

    „Joa mei, is zwar unsicher, aber die meisten haben ja eh nix interessantes zu holen. Und außerdem isses zwar unsicher aber immernoch sicherer als die Konkurrenz“ ..

    Sorry.. aber das ist Bulls***…

  3. Bei dem Aufwand ist es vermutlich einfacher, den Besitzer mit einem billigen Schraubenschlüssel aus dem Baumarkt zum Entsperren seines Gerätes zu „überreden“.

  4. Bartenwetzer says:

    iPhone X: Face ID lässt sich mit Maske austricksen
    Als sicher wird hingestellt, dass sie Erfolg hatten.
    Mal sehen.

  5. Etwas weit hergeholt das Ganze …

  6. „A: As for biometric security, fingerprint is the best.“

    Dürfte es nicht einfacher sein an einen Fingerabdruck zu kommen als an einen 3D Scan vom Gesicht?

  7. Gustaf Maier says:

    Ich finde es erstaunlich, mit wie viel Aufwand die Leute versuchen was Schlechtes an Apple’s neuem Face ID zu finden.
    Hat den einer mal so akribisch bei Androiden mit Gesichtserkennung nach Schwachstellen gesucht?

  8. Es werden sich in gewissen Kreisen Programme bestimmt bald gewisser Beliebtheit erfreuen, die aus mehreren Fotos 3D Modelle errechnen können. 😉

  9. Paranoiker verwenden sowieso kein Smartphone. Insofern… Finde einen Fingerabdrucksensor völlig ausreichend und vor allem viel bequemer als die PIN-Eingabe.

  10. Der große Unterschied zu einem Fingerabdruck ist doch, dass der Hacker nicht physisch bei mir sein muss um die Identifikationsdaten zu stehlen.
    Es wurde zwar schon bewiesen, dass man einen Fingerabdruck auch mit Hilfe eines Fotos kopieren kann, doch werden die wenigstens hochauflösende Bilder von ihren Fingerinnenflächen online stellen. Von Gesichtern schon!

    Ich stehle also das Handy, google nach Bildern von dem Besitzer, lasse es durch ein entsprechendes Programm zur Rekonstruktion der 3D Informationen laufen, schmeiße den 3D-Drucker an und Bingo, das Handy ist geknackt.
    Ist vielleicht noch etwas Zukunftsmusik, aber die Methode hat Potential. Das Problem ist einfach, dass Gesichtsdaten von fast jedem Menschen frei verfügbar sind, Fingerabdruckdaten nicht! Dann ist es egal, dass der eigentliche Kopierprozess des Fingerabdrucks deutlich leichter ist als das des Gesichts

  11. Was mir fehlt sind verifizierbare Infos zu dem Vorgehen: würde die Blickerkennung aktiviert? Wurde die Maske eventuell mitangelernt?
    Ohne diese Infos wirkt das ganze wie Effekthascherei und ist damit wertlos.

    Ich denke allerdings dass Heise oder der CCC bald eine glaubwürdigere Variante vorstellen wie sie FaceID überlisten können.

  12. @Franz Für was, bitte? Damit Du die WhatsApp-Nachrichten Deiner Nachbarin lesen kannst? Wie albern.

  13. Oh Gott, ich muss die Bestellung meines X stornieren………

    Das ist das gleiche Kaliber wie der WLAN KRACK der gerade durch den Blätterwald geistert. Ja es ist möglich aber der Aufwand ist immens. Sogar Heise hat abgewinkt (in der vorletzten Ausgabe), und davon sind fast alle Android Handys, WLAN Router etc. pp. betroffen…….

  14. Der Chaos Computer Club hat zur Einführung von Touch ID einen Tag nach Release verkündet Touch ID geknackt zu haben. Sie haben einfach einen auf dem Smartphone vorhandenen Fingerabdruck abgenommen und damit das Gerät entsperrt. Eine Maske herzustellen ist deutlich aufwendiger. Das es geht ist die ein Sache aber so einen Aufwand zu betreiben die andere. Ich denke immer noch das Face ID die momentan wohl sicherste Sperrmethode zu sein scheint. Warum immer nur bei Apple in den Krümeln gesucht wird erschließt sich mir auch nicht. Das war allerdings noch nie anders seit ich Apple nutze.

  15. Für mich ist das ein komfortabler Schutz gegen neugierige Gesichter. Wer so einen Aufwand betreibt würde wahrscheinlich auch bei mir zu Hause einbrechen. Gegen einen Geheimdienst hilft doch sowieso nur ein Passwort was man dann “vergisst“, falls man so paranoid ist.

  16. In der Überschrift gehört eigentlich noch ein Fragezeichen rein. Bkav demonstrierte nur die Freischaltung mit einer Maske, blieb aber den Beweis schuldig, ein beliebiges Gesicht nachgebaut zu haben.

  17. Ich zweifle nicht unbedingt an dass die Face ID ausgetrickst haben. Es gab ja schon mehrere Versuche mit Masken die alle nicht funktioniert haben. Nach eigener Aussage tricksen die hier zusätzlich die KI aus, die erkennen soll ob es sich um eine Maske handelt. Darum die verschiedenen Materialien.

    Das Video ist aber ein Fake. Die Animation des Schlosses fehlt bei 0:45. Bei erfolgreichem Unlock mit Face ID rotiert das Schloss, ist hier zu sehen: https://youtu.be/l0DoQYGZt8M?t=3m35s

  18. @Kalle,

    ich glaube, das ist nur bei eingeschalteter Blickerkennung der Fall.

  19. Also wenn ich sowas lese, aktiviere ich lieber gleich wieder meine Sperr-PIN 1234, die ist 10x sicherer.

    Das was die Sicherheitsforscher da betreiben ist zwar nett, aber es geht bei FaceID primär darum ein System zu haben, das mit normalem Aufwand unknackbar ist. Und das ist aus meiner Sicht auf jeden Fall gegeben.

  20. Alles Marketing Humbug. Zusammen mit Jobbs hat Apple auch die Inovationen begraben. Heute wird der Kundschaft Tand als Erungenschaft verkauft. Die gute alte PIN oder ein Passwort, sind zwar unbequem, aber viel sicherer als dieser Firlefanz. Aber egal, Hauptsache die Fanboys haben wieder ein Feature mit dem sie angeben können. Die Lächerlichkeit der Applekundschaft ist beschämend.

  21. @OnkelWu „Alles Marketing Humbug“

    Sehe ich auch so. Außerdem bleibt das Gerät durch Gegendarstellungen zu den Problemchen und den Fangirlkriegen im Gespräch.

  22. Klaus Mehdorn Travolta aka Matze.B says:

    @Michael S.

    oder:
    admin
    qwertz

  23. @OnkelWu
    Echt jetzt?

    “ Die PIN kann ebenfalls anhand von Fingerabdrücken auf dem Display rekonstruiert werden, nur die Reihenfolge der Zahlen verraten die Spuren nicht.“

    und:

    „Forscher der TU Berlin haben den Bildschirminhalt von Smartphones über Spiegelungen in Brillen und Augen ausgelesen. Auch die Fingerabdrücke können erfasst werden.“

  24. Bah, ich bleibe bei der Gesichtserkennung von meinem Microsoft Surface. Funktioniert gut. Und ist sicher genug. Wenn ich mehr Aufwand und mehr Sicherheit haben will benutze ich wieder ein Passcode.
    Sind keine sensiblen Daten drauf gespeichert. Passwörter sind mit dem Browser auch nicht eingespeichert sondern müssen jedes Mal neu eingegeben werden. Da ist nichts drauf was mir jemand klauen kann.
    Die Gesichtserkennung reicht als Sicherheit das niemand rumfummeln und spielen kann…

  25. Das wichtigste ist jedoch: Warum trägt der „Kameramann“ keine Schuhe :)?
    Bin ich der einzig, komische, dem das aufgefallen ist?

    /Dev

  26. @Dev
    Du hast falsch gesehen, beide tragen keine Schuhe. Das lässt sich auf das Ursprungsland schließen, da in Asien oftmals in Gebäuden keine Schuhe getragen werden 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.