Maske trickst Gesichtserkennung aus: So leicht läßt sich Face ID überlisten

Einer vietnamesischen Security-Firma ist es gelungen, Apples mit dem iPhone X eingeführte Gesichtserkennung Face ID mit einer selbstgebauten Maske zu überlisten. In einem Beweis-Video wird die dabei genutzte Technik demonstriert.

(Foto: Bkav)

Eines der »Killer-Features« des iPhone X soll die Gesichtserkennung Face ID sein. Bei der Vorstellung des Geräts und der Funktion betonte Apple-Chef Tim Cook mehrfach, wie sicher das Verfahren sein soll. Während sich Konkurrenzprodukte teilweise schon durch digitale Fotos ihrer Besitzer austricksen und entsperren lassen, versprechen die Apple-Ingenieure, dass sich ihr komplexes System aus zahlreichen Sensoren nicht einmal durch Masken in so hoher Qualität, wie sie in Hollywood-Produktionen zum Einsatz kommen, täuschen lasse. Das haben einige Sicherheitsforscher wie auch Hacker sogleich als direkte Herausforderung verstanden, das System auf diesem Weg zu überlisten. Nachdem bislang alle entsprechenden Versuche gescheitert waren, ist dieses Kunststück als erstes nun den vietnamesischen Security-Spezialisten von Bkav gelungen.

Der Trick: Statt eine für das menschliche Auge möglichst echt aussehende Kopie zu erstellen, wie es die meisten anderen Experten versuchten, haben sich die Bkav-Forscher beim Bau ihrer Maske voll auf die Arbeitsweise der Sensoren und deren Täuschung konzentriert. Herausgekommen ist dabei eine schaurig anmutende Mischung, deren Grundlage ein 3D-Scan des Kopfes vom Eigentümer des Smartphones ist. Aus diesen Daten wurde ein Rahmen für das Gesicht extrahiert und mit einem 3D-Drucker ausgedruckt. Dieser wurde anschließend mit einfachen Fotos der Augen- und Mundpartie des iPhone-Besitzers beklebt sowie mit einer entsprechend modellierten Nase aus Silikon versehen. Während das dabei entstandene Gebilde Mitmenschen eher an einen Splatter-Horrorfilm als an die nachgestellte Person erinnern dürfte, konnte das hochgelobte iPhone X darin jedoch eindeutig seinen Besitzer erkennen und gab den Zugriff frei.

Laut Bkav ist der Bau entsprechender Masken nicht sonderlich kompliziert und in wenigen Tagen zu realisieren, wenn man die Grundlagen der Arbeitsweise von Face ID erst einmal verstanden hat. Auch die mit rund 150 Dollar angegebenen Materialkosten dürften für Hacker und andere Angreifer keine allzu große Hürde darstellen. Das größte Problem besteht aber darin, einen 3D-Scan des Gesichts der Zielperson zu bekommen, was laut Blav allerdings mit einigen Smartphones oder in einem Raum versteckten 3D-Scannern gelöst werden kann. Auch wenn es alleine schon aufgrund dieser Hürde relativ unwahrscheinlich ist, dass die iPhones normaler Bürger auf diesem Wege kompromittiert werden, könnte das bei Personen wie Prominenten und Politikern ganz anders aussehen. Zudem zeigt das Experiment deutlich, dass selbst die derzeit besten Systeme zur Gesichtserkennung noch klare Schwachstellen haben. Gerade angesichts der möglichen Verwendung von Face ID zur Authentifizierung bei Apple Pay ist somit Vorsicht geboten.

Kommentare (2) Alle Kommentare

Antwort von Anderl , 10:42 Uhr

Alleine die Übersfchrift ist ja schon ein WITZ. "So leicht lässt sich Face ID überlisten". Die Betonung liegt auf LEICHT !!!. Hat ja jeder einen 3D-Taschendrucker immer dabei…

Antwort von Anderl , 10:39 Uhr

So eine Dumpfbacke; geht`s hier um einen Supercomputer, oder einen Geheimdienst oder Ähnliches? Mei oh mei, muss dem langweilig sein. Eine lebensechte Maske zu erstellen, um ein Smartphone zu knacken…

Ein Foto vor das smartphone zu halten, wäre wirklich einfach und unkompliziert. Aber eine Maske zu bauen, lohnt doch den Aufwand nicht wirklich…

Bestimmt ein Android-Spielzeug-Fan…