Wurde Gesichts­erkennung des iPhone X geknackt?

Die Maske des möglichen Face-ID-Übels (Foto: bkav-Website)
Eine Woche Zeit und 150 Dollar seien nötig gewesen, so die Security-Forscher von Bkav. Aber stimmt dies? Und ist es relevant? Beides ist unklar.
 
Apple pflegt rund um das iPhone X die Superlative auch was die Sicherheit betrifft: "Face ID revolutioniert die Authentifizierung via Gesichtserkennung" heisst es. Und noch vollmundiger. Eine "sichere Authentifizierung" habe man entwickelt, die Technologien dahinter gehörten "zur innovativsten Hardware und Software, die wir je geschaffen haben" und gerade mal "1 zu einer Million" sei die Wahrscheinlichkeit, die Authentifizierung auszuhebeln.
 
Die Statistik mag wahr sein, aber die Apple-Superlative hatten offenbar eine Halbwertwertszeit von knapp einer Woche. Zumindest sagen das Vertreter der vietnamesischen Security-Spezialisten und Smartphone-Hersteller Bkav. Sie sagen, sie hätten Face ID geknackt und fällen ein hartes Urteil: "Apple Face ID ist keine wirksame Security-Massnahme".
 
Zum Knacken benutzten sie laut dem Blogpost eine selbst gebastelte Maske, für die sie gerade mal 150 Dollar Materialkosten ausgaben.
 
Als erstes produzierte ein 3D-Drucker das Grundmodell des Gesichts des iPhone-Nutzers auf der Basis eines 3D-Scanner-Fotos. Mit Fotos der Nase habe dann ein Künstler diese modelliert und die Bkav-Forscher diese selbst verbessert. Auch Fotos seien für einzelne Stellen an die Maske angebracht worden. "Die Maske herzustellen ist leicht", sagen die Forscher über ihr Proof-of-Concept und werde mit der Weiterentwicklung von 3D-Druckern immer einfacher werden.
 
Auch davon, dass Apple Bärte, Make-Up-Wechsel oder ähnliches berücksichtigen könne und im Laufe der Zeit immer neue Fotos aufnehme, halten die Vietnamesen nicht viel. Im Gegenteil: "Versuchen Sie es mit Ihrem iPhone X selbst: Die Gesichtserkennung funktioniert sogar, wenn nur das halbe Gesicht erfasst ist. Der Mechanismus ist also nicht so streng, wie man es vermutet hätte."
 
Passworte irgendwelcher Art seien im ganzen Entsperrprozess nie zum Einsatz gekommen. Damit scheint Bkav geschafft zu haben, woran Apple-Fachleute oder auch 'Wired' und 'Wall Street Journal' scheiterten. Und auch 'golem.de' titelte letzte Woche noch: "Es braucht schon Zwillinge, um Face ID zu überlisten".
All diese hätten wohl nicht dasselbe Security-Knowhow und würden die Apple-KI-Lösung nicht gut genug kennen, antworten die Bkav-Forscher selbstbewusst.
 
Man erfülle internationale Sicherheitsstandards, versichert Apple. Welche dies genau sind, bleibt für uns unauffindbar. Zudem wurde Apple schon vor dem i Phone-X-Launch in einem 'Bloomberg'-Artikel bezichtigt, man habe die Security-Anforderungen für Face ID absichtlich heruntergefahren. Apple widersprach damals vehement.
 
Zühlke-Experte verteidigt Face ID
Und ist dies nun, falls wahr, peinlich? Eine Tragödie? Unvermeidlich? In einem Blogpost von Zühlke heisst es: "Es war nur eine Frage der Zeit, bis die ersten Sicherheitsexperten sich Face ID erfolgreich vorknöpfen würden."
 
Autor ist Senior Information Security Consultant Raphael Reischuk. Er wiederholt das Mantra der Tech-Branche, dass sich "jedes heute bekannte computergestützte Authentifizierungssystem mit genügend Aufwand" knacken lasse.
 
Es ist noch unklar, wie gross der Aufwand von Bkav war und wie gut man die Apple-Lösung kennen muss, um sie zu überwinden. Das gleichzeitig publizierte Video zeigt die Herstellung der Maske nicht.
 
Unklar ist auch, wie leicht oder schwer es ist, an einen 3D-Scan der nötigen Qualität heranzukommen. Bkav vermutet, ein aktuelles Sony Xperia XZ1 mit 3D Creator könnte heute für normale Hacker schon genügen, in naher Zukunft würde ein Hack noch leichter werden. Der Zühlke-Experte hingegen glaubt, dass es einige Zeit dauern werde, bis 3D-Scans zur Commodity werden.
 
Die Vietnamesen haben versprochen, detailliertere Informationen zu publizieren.
 
Der Zühlke-Mitarbeiter fordert für die Security, "die Hürde muss nur gross genug sein, um den durchschnittlichen Angreifer auf ein schwächeres Ziel zu verweisen". In diesem Lichte sei die Sicherheit des iPhone X in Kombination mit guter Usability weiterhin "bis dato unerreicht". Zudem könnte Apple bewegte Gesichter in den Scan einbauen und unbewegliche Masken seien dann unbrauchbar.
 
Trotzdem ist der "Auth Hack", falls wahr, zumindest ein Image-Debakel für Apple. Schliesslich könnten die Reichen und Bedeutenden das Premium-Device für ein Risiko-Device halten. Und genau sie sollen die wahrscheinlichsten aktuellen Opfer sein, so Bkav.
 
Vielleicht sind das beruhigende Worte von Apple an all die Promis, deren Nacktfotos in der iCloud leakten: "Face ID-Daten verbleiben stets auf Ihrem Gerät und werden nie in iCloud oder an anderer Stelle gesichert." (mag)