Vietnamesische Sicherheitsforscher behaupten, dass die Gesichtserkennung von iPhone X weit weniger sicher ist als von Apple angegeben. In einem Video zeigen sie die offensichtliche Entsperrung eines mit Face ID gesicherten Geräts durch eine relativ einfache Maske. In einem Blogeintrag beschreiben die Forscher der Firma Bkav ihr Vorgehen und beantworten dazu gestellte Fragen.
Der Face-ID-Hack konnte noch nicht von anderen Sicherheitsforschern bestätigt werden, die sich teilweise skeptisch dazu äußerten. Bkav kann allerdings darauf verweisen, schon 2009 gezeigt zu haben, wie sich Gesichtserkennung bei Notebooks von Herstellern wie Asus, Lenovo und Toshiba austricksen ließ – mit nicht mehr als zweidimensionalen Bildern vom Gesicht des Nutzers. Auf der Hackerkonferenz Black Hat führte es damals schon vor, wie unsicher die Authentifizierung durch Gesichtserkennung sein kann. Inzwischen bietet das vietnamesische Unternehmen mit Bphone auch ein eigenes Smartphone an mit den „fortgeschrittensten Sicherheitstechnologien im OS-Kernel“.
Weitere Details zur Überwindung von Face ID will Bkav noch in dieser Woche auf einer Pressekonferenz enthüllen. In einem folgenden Beitrag will das Unternehmen außerdem die Forschungsergebnisse veröffentlichen, die die Überlistung von Face ID mit einer Maske ermöglichten. Ihren Hack verstehen sie als Experiment, mit dem sie einen grundsätzlichen Beweis führen wollten. Die Erforschung weiterer Fragen soll später erfolgen.
Zum Einsatz kam zunächst ein handelsüblicher 3D-Drucker, um die wesentlichen Teile der Maske zu fertigen. Die Nase wurde von einem Kunsthandwerker aus Silikon geformt und musste noch etwas nachgebessert werden. Weitere Teile kamen aus einem 2D-Drucker. Die Haut wurde ebenfalls handgefertigt, um Apples KI zu täuschen, so die Sicherheitsforscher. Als Kosten für die Maske geben sie rund 150 Dollar an. Mit ihrer Arbeit begannen sie, nachdem sie das iPhone X am 5. November in die Hände bekamen.
Ähnliche und teilweise viel aufwendigere Versuche, Face ID mit einer Maske zu überwinden, scheiterten bislang. „Ohne eine gewisse Expertise in Sicherheit ist es ziemlich schwierig, die ‚richtige‘ Maske zu machen“, kommentiert Bkav und verweist auf eine Schwäche der künstlichen Intelligenz, die Apple im Zusammenhang mit Face ID bewirbt. „Wir konnten Apples KI überlisten, weil wir ihre Funktionsweise verstanden und sie umgehen konnten.“
Im Grunde sei alles ziemlich einfach gewesen. „Sie können das mit Ihrem eigenen iPhone X ausprobieren, das Telefon wird Sie sogar dann erkennen, wenn Sie eine Hälfte Ihres Gesichts verdecken“, schreiben die Sicherheitsforscher. „Das bedeutet, dass die Erkennungsmethode nicht so strikt ist, wie man meinen sollte. Apple scheint sich zu sehr auf die KI von Face ID zu verlassen. Wir brauchen nur ein halbes Gesicht, um die Maske zu schaffen. Es war sogar einfacher, als wir das selbst angenommen hatten.“ Apple habe grundlegende Forschung vernachlässigt, bevor es die Entscheidung traf, Touch ID mit Face ID zu ersetzen.
Was biometrische Sicherheit angeht, ist der Fingerabdruck laut Bkav nach wie vor besser. Apple hingegen hatte erklärt, dass seine Gesichtserkennung um den Faktor 20 sicherer ist als Touch ID. Die Möglichkeit einer zufälligen Entsperrung durch eine fremde Person gab der iPhone-Hersteller mit 1 zu einer Million an. Er dementierte auch einen Bericht von Bloomberg, die Genauigkeit von Face ID sei verringert worden, um Lieferengpässe beim Jubiläumsmodell iPhone X zu vermeiden.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Allerdings geht auch Bkav nicht davon aus, dass der durchschnittliche iPhone-Nutzer gefährdet ist, wenn er sich auf die Authentifizierung mit Apples Gesichtserkennung verlässt – dazu sei der Aufwand für die Herstellung der Maske im wirklichen Leben doch zu groß. Ins Visier könnten aber Milliardäre, Firmenchefs und die Mitarbeiter von Geheimdiensten kommen. Künftig könnte es jedoch noch einfacher werden, 3D-Modelle zu schaffen: „Wir könnten Smartphones mit 3D-Scan-Technik wie Sony XZ1 nutzen. Oder einen 3D-Scanner in einem Raum aufstellen, ein paar Sekunden reichen für den Scan.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…