Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Face ID überlistet? Angeblich Entsperrung per Maske geglückt

Es gibt wahrscheinlich kein Sicherheitssystem auf der Welt, das nicht in irgendeiner Art und Weise überlistet werden kann. Selbst biometrische Authentifizierung ist mit hohem Aufwand zu umgehen. Ein Sicherheitsunternehmen behauptet jetzt, dass es angeblich erstmals gelungen sei, per speziell angefertigter Maske auch Apples neuen Gesichtsscanner Face ID auszutricksen. Anders als der von Samsung eingesetzte Gesichtsscanner, dieser gibt auch grünes Licht, wenn man ein Foto vor die Linse hält, arbeitet Face ID sehr viel akkurater. Neben Tiefenerkennung analysiert Face ID auch die Oberflächenbeschaffenheit, weswegen beispielsweise ein Gipsmaske noch so genau wie das Gesicht des Nutzers gefertigt sein kann, die Entsperrung wäre darüber nicht möglich.


Das Sicherheitsunternehmen names Bkav gibt an, bestimmte Eigenheiten der intelligenten Erkennung ausgenutzt zu haben. Dazu zählt unter anderem die Tatsache, dass auch Teilbereiche des Gesichts ausreichen. Aus diesem Grund musste man mit der von Bkav angefertigten Maske auch nicht ein komplettes Gesicht exakt nachbilden, sondern es reichten bestimmte Bestandteile. Außerdem werte Face ID nicht die exakten Abmessungen aus, relative Dimensionen seien ausreichend.


Die Nase der Maske stammt von einem Maskenbildner, die Hautpartien aus dem 3D-Drucker. Um das Gesicht des Nutzers exakt auszumessen, reicht laut Bkav ein Smartphone mit 3D-Scanner (z.B. Sony XZ1). Angeblich könne aber auch ein sehr talentierter Maskenbilder anhand eines Fotos genau die Gesichtszüge nachmodellieren. Diese Behauptung steht allerdings im direkten Widerspruch zu Apples Angaben, es sei mit keiner noch so akkuraten Maske gelungen, Face ID zu verwirren.


Man darf gespannt sein, ob es eine Reaktion von Apple gibt. Auch wenn Bkav betont, die Maske mit handelsüblichen Materialien angefertigt zu haben, handelt es sich dennoch um kein einfach herbeizuführendes Szenario. Stattdessen bedarf es ausgeprägter Expertise und hohem technischen Verständnis. Außerdem demonstrierte Bkav bislang nur die Freischaltung mit einer Maske, blieb aber den Beweis schuldig, ein beliebiges Gesicht nachgebaut zu haben.
Test FiiO R9
Test FiiO R9
Günstige "AirPods Lite" geplant?
Günstige "AirPods Lite" geplant?
iPad Pro mit OLED
iPad Pro mit OLED
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...
AirPower lädt Apple Watch: Vorgang erstmals in Video festgehalten
AirPower lädt Apple Watch: Vorgang erstmals in ...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
MacBook Air M3 vorgestellt
MacBook Air M3 vorgestellt
Vergleichstabelle: Welcher Messenger ist sicher?
Vergleichstabelle: Welcher Messenger ist sicher?

Kommentare

buffi
buffi13.11.17 11:52
Ohne eine echtes Gesicht mit der Maske nachempfunden zu haben und das iPhone damit zu entsperren, hätte er sich die Arbeit auch sparen können.
Can’t innovate anymore? My ass!
+5
Raziel113.11.17 11:53
Nächster Schritt wäre wenn FaceId nun noch auf Bewegungen in dem Gesicht wartet bevor es entsperrt. Aber der Aufwand hier spricht schon für Das System. Fingerabdruck zu fälschen wäre deutlich leichter gewesen
+3
Jaguar1
Jaguar113.11.17 11:54
Hat er denn dann FID auf diese Makse trainiert oder wie ist das zu verstehen?
Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.
+7
PaulMuadDib13.11.17 11:58
War die Aufmerksamkeitserkennung deaktivert? Leider wird über dieses Thema auch bei Heise herumgerätselt.
+2
Bilbo13.11.17 11:58
Offensichtlich wurden einige Einstellungen, wie zum Beispiel die "Aufmeksamkeits-Erkennung"(die Erkennung, dass es ein lebendiges Gesicht ist) vorher deaktiviert, die standardmäßig aktiv ist um genau solche Szenarien zu verhindern! Auch wurde offensichtlich die Infrarot-Abtastung(ebenfalls zur Erkennung, dass es keine Maske ist) deaktiviert!
Übrigens! Nach 2 Fehlversuchen, mit Gesicht oder Maske ist die Eingabe einer PIN erforderlich!

Was also haben die sogenannten "Sicherheitsexperten" da vorher schon manipuliert??
👎🏼
+8
manchester13.11.17 11:59
Das ist ja alles schön und gut, aber sollte ich nun deswegen Angst haben das mein iPhone plötzlich sofort total unsicher und damit wertlos wird?

Hmm... schauen wir doch mal...

Also man benötigt gemäß des Artikels

1.) Einen 3D-Scanner
2.) Einen sehr talentierten Maskenbilder
3.) Ein Foto des "Opfers"
4.) Vermutlich auch ein paar Tage oder ne Woche bis die Maske fertig ist?

Nicht grade die Utensilien welche ein iPhone X Dieb der mir das iPhone z.B. auf der Strasse stibitzt grade parat hat, oder?

Also im "Real Life Szenario" würde es doch so ablaufen, dass wenn jemand mir mein iPhone klaut, hat er weder die Zeit noch die Untensilien parat um so eine Maske zu bauen.

Daher sehe ich das Ganze völlig gelassen und freue mich weiterhin auf mein bestelltes neues Smartphone
+2
PaulMuadDib13.11.17 12:00
Bilbo
Woher beziehst Du diese Information?
+1
iGod13.11.17 12:06
Gute PR für das Unternehmen. Woher weiß ich, ob die nicht einfach nur die Maske eingescannt haben, die reale Person dahinter bleibt verborgen?

Ist die Aufmerksamkeitsprüfung aktiviert?

Selbst wenn, man es geschafft haben sollte, Face ID "auszutricksen", steht das ja in keinem Verhältnis. Bevor man mich entführt und in einen 3D-Scanner steckt, kann man mir auch gleich mein iPhone vors Gesicht halten.
+1
chessboard
chessboard13.11.17 12:09
Für wessen iPhone sollte man einen derartigen Aufwand betreiben? Was soll dann auf diesem iPhone zu finden sein?
+1
Phil Philipp
Phil Philipp13.11.17 12:17
Man muss doch auch jetzt schon aller 24h oder so den Code eingeben, um Touch ID zu aktivieren. Das wird doch bei Face ID nicht viel anders sein - oder?
Wenn ich also ein iPhone X entsperren möchte, brauche ich den stillhaltenden und mitmachenden Besitzer, um einen Abdruck zu nehmen (oder wenigstens einen 3D-Scan). Muss dann mit dem Abdruck eine Maske anzufertigen, mit Augenfarbe und allem. Das ganze muss dann auch noch in spätestens in 24h fertig sein.....
Hört sich sehr viel aufwändiger an, als in 24h einen Fingerabdruck nachzubasteln.
Und wie man den Besitzer dazu bringt, sich für einen Gesichtsscan herzugeben, möchte ich mir gar nicht vorstellen
+1
Jeronimo
Jeronimo13.11.17 12:17
PaulMuadDib
Bilbo
Woher beziehst Du diese Information?

Vermutlich direkt von Apple:

- Support-Dokumente zu Face ID und
- Face ID Security Guide (englisch)

Es sind allerdings 5 Fehlversuche, nach denen Face ID aussteigt und ein Code verlangt wird, nicht 2.
+3
Jeronimo
Jeronimo13.11.17 12:21
Phil Philipp
Hört sich sehr viel aufwändiger an, als in 24h einen Fingerabdruck nachzubasteln.

Du kannst nicht einfach in 24h einen Fingerabdruck nachbasteln. Auch nicht in 48. Jedenfalls nicht, wenn er mit Touch ID funktionieren soll.
0
Jeronimo
Jeronimo13.11.17 12:24
chessboard
Für wessen iPhone sollte man einen derartigen Aufwand betreiben? Was soll dann auf diesem iPhone zu finden sein?

Frag das doch mal das FBI, Mossad, KGB, den MIT (türkischen Geheimdienst), etc. – die haben genug Gründe, um an die Daten auf den iPhones gewisser Personen zugreifen zu wollen. Und diese "gewissen Personen" sind nicht immer Terroristen.
+4
Bilbo13.11.17 12:26
Jeronimo
PaulMuadDib
Bilbo
Woher beziehst Du diese Information?

Vermutlich direkt von Apple:

- Support-Dokumente zu Face ID und
- Face ID Security Guide (englisch)

Es sind allerdings 5 Fehlversuche, nach denen Face ID aussteigt und ein Code verlangt wird, nicht 2.

Stimmt, es sind 5 Versuche ... 👍🏼
Und den Rest hast du gut dokumentiert.
+1
Jeronimo
Jeronimo13.11.17 12:31
iGod
Selbst wenn, man es geschafft haben sollte, Face ID "auszutricksen", steht das ja in keinem Verhältnis. Bevor man mich entführt und in einen 3D-Scanner steckt, kann man mir auch gleich mein iPhone vors Gesicht halten.

Ja, die Betonung liegt auf "selbst wenn", ich halte das nämlich ebenfalls für Eigenwerbung auf Kosten Apples. Sofern es dafür keinen unwiderlegbaren Beweis gibt, sind das erst mal hübsch provokante Behauptungen ohne Substanz, aber wunderbar headline-tauglich.

Was die Sache mit dem "vor's Gesicht halten" angeht: wenn der Besitzer (z.B. beim Herausziehen des iPhones aus der Tasche) sowohl einen der beiden Volume-Buttons (egal welchen) und den Power-Button länger als 2 Sekunden drückt, ist Face ID (und beim iPhone 8 auch Touch ID) inaktiv und man kommt nur noch per Code rein. Nicht zuletzt für die USA interessant, wo die Polizei einen zwingen kann, sein iPhone per Touch bzw. Face ID* zu entsperren, aber (zumindest theoretisch) nicht die Herausgabe des Sperrcodes erzwingen darf.

*sofern sie es, bei eingeschalteter Aufmerksamkeitsprüfung, schaffen, dass der iPhone-Besitzer auch die Augen geöffnet hat und das iPhone anschaut
+2
Jeronimo
Jeronimo13.11.17 12:41
Raziel1
Nächster Schritt wäre wenn FaceId nun noch auf Bewegungen in dem Gesicht wartet bevor es entsperrt. Aber der Aufwand hier spricht schon für Das System. Fingerabdruck zu fälschen wäre deutlich leichter gewesen

Ja, ich vermute, da wird es auch bei Apple hingehen. Das Problem ist nur, Amazon hat einen Patentantrag auf genau dieses Thema – Auszug daraus: "A transaction is authorized using an authentication process that prompts the user to perform an action in view of a camera or sensor. The process identifies the user and verifies that the user requesting the transaction is a living human being."

Will sagen: Ohne Blinzeln o.ä. kein Zutritt. Google hat ähnliches bereits 2013 beantragt .
+1
MacTaipan13.11.17 12:43
Ich würde sagen, damit kann ich leben.
+1
teorema67
teorema6713.11.17 13:03
Angeblich Entsperrung per Maske geglückt
Das wird DIE Herausforderung für Basler Fasnachter im Februar 2018
Wenn ich groß bin, geh ich auch auf die Büffel-Universität! (Ralph Wiggum)
+1
athlonet13.11.17 13:13
Raziel1
Nächster Schritt wäre wenn FaceId nun noch auf Bewegungen in dem Gesicht wartet bevor es entsperrt.

Aber dann bekommen es die ganzen Promis, die sich Botox spritzen lassen, auch nicht mehr entsperrt
+1
Tago13.11.17 14:08
Man kann auch eine DNS Probe es iPhones entnehmen und daraus den Besitzer clonen. Mit dem Clone dann das iPhone entsperren ....
+6
Skaffen-Amtiskaw
Skaffen-Amtiskaw13.11.17 14:17
Ich geniesse den Bericht mit Vorsicht. Denn das Magazin WIRED erzählt, wie sie mit viel Geld, Zeit, Aufwand und Filmspezialisten glorios an der Face ID scheiterten. Zur Lektüre empfohlen:
+5
jogoto13.11.17 15:55
Es ist gelungen per Maske ein iPhone nachzubauen? Das klingt interessant.
+3
Tirabo13.11.17 17:17
Jeronimo
iGod
Selbst wenn, man es geschafft haben sollte, Face ID "auszutricksen", steht das ja in keinem Verhältnis. Bevor man mich entführt und in einen 3D-Scanner steckt, kann man mir auch gleich mein iPhone vors Gesicht halten.

Ja, die Betonung liegt auf "selbst wenn", ich halte das nämlich ebenfalls für Eigenwerbung auf Kosten Apples. Sofern es dafür keinen unwiderlegbaren Beweis gibt, sind das erst mal hübsch provokante Behauptungen ohne Substanz, aber wunderbar headline-tauglich.

Nicht zuletzt für die USA interessant, wo die Polizei einen zwingen kann, sein iPhone per Touch bzw. Face ID* zu entsperren, aber (zumindest theoretisch) nicht die Herausgabe des Sperrcodes erzwingen darf.

In D ist das bei Touch-ID den Strafbehörden theoretisch genauso möglich über Fingerabdrücke. Darauf machen immer wieder mal Strafverteidiger aufmerksam.
0
auszeit
auszeit13.11.17 18:15
Ich hab das iPhone als 1 gehackt. 1iPhone 2 Gesichter.

https://youtu.be/c_3r5AwrQI4
0
Stresstest13.11.17 18:20
Skaffen-Amtiskaw
Ich geniesse den Bericht mit Vorsicht. Denn das Magazin WIRED erzählt, wie sie mit viel Geld, Zeit, Aufwand und Filmspezialisten glorios an der Face ID scheiterten. Zur Lektüre empfohlen:

Dazu auch noch ein weiterer Artikel:
If Bkav's findings do check out, Rogers says that the most unexpected result of the company's research would be that even fixed, printed eyes are able to deceive Face ID. Apple patents had led Rogers to believe that Face ID looked for eye movement, he says. Without it, Face ID would be left vulnerable not only to simpler mask spoofs, but also attacks that could unlock an iPhone X even if the owner is sleeping, restrained, or potentially even dead.

Es bleibt spannend, ob das nun stimmt
0
Phil Philipp
Phil Philipp13.11.17 18:31
Jeronimo
....
*sofern sie es, bei eingeschalteter Aufmerksamkeitsprüfung, schaffen, dass der iPhone-Besitzer auch die Augen geöffnet hat und das iPhone anschaut
Ach, das kriegen sie schon hin:
+5
teorema67
teorema6713.11.17 18:55
Phil Philipp
Jeronimo
....
*sofern sie es, bei eingeschalteter Aufmerksamkeitsprüfung, schaffen, dass der iPhone-Besitzer auch die Augen geöffnet hat und das iPhone anschaut
Ach, das kriegen sie schon hin:
Vorausgesetzt die Musik dazu ist von Beethoven
Wenn ich groß bin, geh ich auch auf die Büffel-Universität! (Ralph Wiggum)
0
Hannes Gnad
Hannes Gnad13.11.17 19:23
Jeronimo
Frag das doch mal das FBI, Mossad, KGB, den MIT (türkischen Geheimdienst), etc.
Wenn solche Einrichtungen hinter Daten und/oder Personen her sind ist das Problem nicht, wie viele Fehlversuche Face ID zuläßt...
+4
MacKing13.11.17 19:43
Auf dem Video sieht es so aus, als wenn das Schloss gar nicht aufgeht. Wenn er es sich selbst vors Gesicht hält, geht das Schloss auf und er logt ein.

Ich sage mal: fake
+2
PaulMuadDib13.11.17 20:23
MacKing
Auf dem Video sieht es so aus, als wenn das Schloss gar nicht aufgeht. Wenn er es sich selbst vors Gesicht hält, geht das Schloss auf und er logt ein.

Ich sage mal: fake
Das ist der entscheidende Punkt. Es soll wohl (angeblich) manchmal möglich sein, daß gar keine Animation einblendet wird. Wenn hier von den iPhone X-Besitzern mal jemand ausprobieren würde, ob es einen Unterschied zwischen aktivierter und deaktivierter Aufmerksamskeiterkennung gibt.

Zwar ist er schnell dabei, nach dem Drücken auf den Powerknopf nach oben zu wischen. Ich bin aber der Meinung, das FaceID zumindest etwas hätte anzeigen müssen, da die Maske ja schon freigelegt war.

Sie hätten diverse Zweifel beseitigen können, wenn sie genau diese Animation deutlich gezeigt hätten. Haben sie aber nicht.
+4
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.