Bild: Bkav
Seit gerade mal einer Woche darf man für das iPhone X vor den Läden Schlange stehen – und schon will eine Hackergruppe einen Weg gefunden haben, um die viel gelobte Gesichtserkennnung Face ID umgehen zu können, die das Smartphone für den Zugriff Unbefugter sperrt.In einem Video zeigt die vietnamesische Gruppe Bkav, wie sie das Gesichtserkennungssystem mit einer vierteiligen Maske austrickst. Die wichtigsten Zutaten: eine handgefertigte Nase aus Silikon, aufgeklebte Bilder von Augen und Mund, und eine mumienartige weiße Maske aus Gewebeband anstelle der Gesichtshaut.Seit Apples neues Luxus-Smartphone am 3. November erschien, läuft das Rennen darum, wer die als besonders sicher geltende Gesichtserkennung Face ID als erster knacken kann. Sechs Tage Arbeit und ein paar hundert US-Dollar Materialkosten später präsentieren die Forscher aus Vietnam ihr Ergebnis: Im Video zeigt ein Bkav-Sicherheitsforscher, wie er sein iPhone X zunächst mit der Mumien-Maske und dann mit seinem eigenen Gesicht problemlos entsperrt. Im kurzen Clip funktioniert die Erkennung einwandfrei. Es ist der erste erfolgreiche Anlauf, Face ID zu umgehen. Entsprechend wurde das Video auch bereits über 300.000 mal angesehen.Bkav beschäftigt sich nach eigenen Angaben schon seit einem knappen Jahrzehnt mit den Tücken der Gesichtserkennung. Damals steckte die Technologie noch in den Kinderschuhen. 2008 wies die Gruppe – damals noch unter dem Namen BKIS – eine Schwachstelle beim Computerhersteller Lenovo nach. Im Rahmen einer Präsentation auf der Black Hat-Hackerkonferenz zeigten die Hacker, dass Lenovos Login-Systeme mit Gesichtserkennung alles andere als ausgereift waren.Trotzdem ist die Nachricht von Bkavs Sieg über Face ID mit Vorsicht zu genießen. Die nun vorgestellte Methode erfordert einiges an Aufwand – und ist nicht ohne Weiteres für Laien nachzumachen: Benötigt werden eine Silikonnase, ein 3D-Drucker, Verbandgaze und ein Metallrahmen. Auch die Gruppe Bkav glaubt nicht, dass normale Nutzer in Gefahr sind – obwohl sie die Kosten für ihren Aushebelung-Mechanismus gerade mal mit 150 Euro bezifferten.
Anzeige
Anzeige
Denn ein bisschen mehr als Pappmaché und ein paar ausgedruckte Fotos braucht es durchaus: Die Maske ist trotz der fehlenden Hauttexur eben ein originalgetreuer 3D-Abguss des Gesichts des Besitzers. Ein Angreifer müsste nicht nur über die exakten Maße des zu fälschenden Gesichts Bescheid wissen, sondern auch in der Lage sein, die Form topographisch korrekt mit einem 3D-Drucker zu reproduzieren.Ein Risiko bestünde also eher für die Smartphones hochrangiger Politiker oder Geheimdienst-Mitarbeiter, so Bkav – also Personen, bei denen sich der Aufwand aus Sicht des Angreifers tatsächlich lohnen würde.Mit Face ID hatte sich Apple vom relativ leicht zu täuschenden Fingerabdruck-Sensor Touch ID als Identifikationssystem verabschiedet. Apple vermarktete die Infraroterkennung des neuen iPhone X speziell mit dem Verweis, die KI im Gerät könne Masken von echten Gesichtern einwandfrei unterscheiden. Doch Bkav widerspricht:“Das ging alles viel einfacher als gedacht. Ihr könnt das selbst mit eurem iPhone X ausprobieren, das Smartphone sollte euch wiedererkennen, selbst wenn ihr die Hälfte eures Gesichts abdeckt”, schreibt die Gruppe in den FAQ auf der Website. “Der Mechanismus ist also bei weitem nicht so strikt wie erwartet. Das bedeutet, dass sich Apple zu sehr auf die KI hinter Face ID verlässt.”Details über die Methodik spart Bkav allerdings aus – was für Proof-of-Concept-Studien unter Sicherheitsforschern zumindest ungewöhnlich ist. Oft veröffentlichen Sicherheitsforscher neben ihren Demonstrationen ausführliche Texte oder Paper, so dass andere Hacker ihre Arbeit nachvollziehen können. Bisher haben keine anderen Sicherheitsforscher Bkavs Methode öffentlich bestätigt. Auch Apple hat sich noch nicht zu dem Hack geäußert.Eine weitere wichtige Frage bleibt bisher offen: Haben Bkav es geschafft, Apples “Aufmerksamkeitsprüfung für Face ID” ebenfalls auszuhebeln? Diese Funktion soll eigentlich feststellen können, ob jemand tatsächlich auf ein iPhone schaut oder nur eine Maske vor das iPhone hält. Man kann die Funktion allerdings abschalten – diese Option ist für Menschen mit schweren Behinderungen gedacht, die nicht direkt auf den Bildschirm blicken können. Abgeschaltet kann man das Telefon auch mit geschlossenen Augen entsperren. Das Gros der Nutzer wird diese Funktion aber nicht freiwillig deaktivieren.Bis sich Bkav dazu äußert oder jemand die Methode extern testet, gilt das Rennen um das Knacken der Gesichtserkennung Face ID nur unter Vorbehalt als entschieden."Ihr könnt das selbst mit eurem iPhone X ausprobieren, das Smartphone sollte euch wiedererkennen, selbst wenn ihr die Hälfte eures Gesichts abdeckt."