Bkav entsperrt Face ID erneut mit Maske

[Jan Gruber]

Bkav entsperrt Face ID erneut mit Maske

Die koreanische Sicherheitsfirma Bkav macht erneut auf sich aufmerksam. Vor wenigen Tagen gab es die erste News über die Entsperrung eines iPhone X mit einer Maske, das per Face ID gesichert war. Jetzt berichtet die Firma über einen erneuten Erfolg und geht diesmal auf bisher fehlende, erhebliche, Details ein.

Erneut wurde eine nicht besonders komplexe Maske verwendet. Sie wurde mit einem 3D Printer erstellt und nachbearbeitet. Der monetäre Aufwand liegt, ohne die Anschaffung des Druckers, bei rund 200 Dollar. Das Material soll für jedermann frei erwerbbar sein. So urteilt das Unternehmen, dass Face ID nicht sicher genug für berufliche Transaktionen sei.

Bkav researchers said that making 3D model is very simple. A person can be secretly taken photos in just a few seconds when entering a room containing a pre-setup system of cameras located at different angles. Then, the photos will be processed by algorithms to make a 3D object.

It can be said that, until now, Fingerprint is still the most secure biometric technology. Collecting a fingerprint is much harder than taking photos from a distance.​

Unlock per Maske trotz "Aufmerksamkeitsprüfung"


Beim ersten Hack ergaben sich im Nachgang einige Fragen. Eine davon war, ob die sogenannte Aufmerksamkeitsprüfung aktiviert war. Dabei muss der Nutzer sein iPhone während der Entsperrung auch aktiv ansehen. Beim zweiten Versuch geht Bklav direkt auf dieses Thema ein. Das Feature soll aktiviert gewesen sein, zudem soll es keinen erfolglosen Versuch gegeben haben.

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

 

[Frischluft]

Toll, dann wird Apple da in Zukunft einfach noch eine Mimikerkennung einbauen, oder beispielsweise die Augenposition scannen und Ruhe ist.

 

[Joel_Shinoda]

FaceID erkannte mich nicht mehr nachdem ich meinen Vollbart abrasiert habe, allerdings lies es sich entsperren als man es mir ins Gesicht hielt und mir die Augen mit Fingern aufhielt. Ich sah das Gerät auch nicht direkt an.
Es scheint Bereiche zu geben (unterhalb der Nase) bei dem das Gerät weniger tolerant ist als bei Anderen (aufwärts der Nase)

 

[bitundbyte]

Das war zu erwarten.
In der "normalen" Alltagspraxis sollte das entsperren, wie in diesem Video demontriert, wohl eher keine Bedeutung haben.
Ein konventionelles und komplexes Passwort ist immer noch die sicherste Alternative.

 

[kroaki]

Denke, dass das Problem wohl auch daran liegt, dass der Face ID direkt nach dem Zurücksetzen an der Maske angewendet hat. Bin mir sicher, dass das nicht mehr funktioniert, wenn er das iPhone mit Face ID mal ein paar Tage nur an seinem Gesicht verwendet - immerhin lernt die A.I. ja dazu mit jedem Unlock!

 

[Overchurch]

Das bedeutet also:

Sollte jemand unbemerkt mein iPhone stehlen wollen, muss er zuvor unbemerkt noch einen Abdruck von meinem Gesicht nehmen oder mich entführen und dann einen Abdruck von meinem Gesicht nehmen.

Mit der "Sicherheitslücke" kann ich leben!

Der Test ist so wenig relevant für die Praxis, ich frage mich wieso das so viel Aufsehen erregt!?
Wenn ich jemandem das iPhone stehle und noch unbemerkt den Daumen abschneide, kann ich auch Touch-ID umgehen. Wenn ich jemanden das iPhone stehle und ihm eine Pistole an den Kopf halte, wird er mir das Gerät in 9 von 10 Fällen entsperren. Welch herausragende Erkenntnisse!

 

[Arcane]

@Overchurch Der Test soll zeigen, dass es durchaus möglich ist, FaceID auszutricksen - nicht mehr und nicht weniger, also bitte nicht so überheblich.

Im übrigen.. es wird kein "Abdruck von deinem Gesicht genommen", indem dir irgendwelche Pampe in's Gesicht geschmiert wird, sondern es wird ein digitaler Abdruck genommen. Sprich, ein paar Fotos von deinem Gesicht reichen vollkommen um dein Gesicht in ein 3D Modell umzuwandeln und auszudrucken.

 

[_macminimal]

@Overchurch Der Test soll zeigen, dass es durchaus möglich ist, FaceID auszutricksen - nicht mehr und nicht weniger, also bitte nicht so überheblich.

Im übrigen.. es wird kein "Abdruck von deinem Gesicht genommen", indem dir irgendwelche Pampe in's Gesicht geschmiert wird, sondern es wird ein digitaler Abdruck genommen. Sprich, ein paar Fotos von deinem Gesicht reichen vollkommen um dein Gesicht in ein 3D Modell umzuwandeln und auszudrucken.

Ok, jeder der nicht möchte das mittels "geklautem Gesicht" oder "Fingerabdruck" sein geklautes Smartphone von Profis entsperrt werden kann, sollte also einen 6 bis X-stelligen Zahlencode verwenden.

 

[Arcane]

...wenn du das gerne möchtest...

 

[Verlon]

Sprich, ein paar Fotos von deinem Gesicht reichen vollkommen um dein Gesicht in ein 3D Modell umzuwandeln und auszudrucken.

Na ganz so simpel ist es nicht. Es bedarf schon einen spezifischen Aufbau von mehreren Kameras, um ein ausreichend detailiertes 3D Image zu bekommen.

Bisher bleibt festzuhalten, dass der Aufwand, um FaceID zu überwinden, deutlich höher ist als beim Fingerprint- oder Iris-Scanner. Das betrifft zum einen das Erhalten der benötigten Informationen (detailiertes 3D Profil des Gesichts, IR Foto der Augen), sowie der Herstellungsaufwand des Fake-Gesichts.

 

[NorbertM]

Man braucht mein iPhone dazu und wenn das jemand klaut, wird es gesperrt. Da nützen die ganzen Basteleien nichts.

Falls Gewaltanwendung im Spiel ist, gibt es ohnehin andere Möglichkeiten, da braucht es dann auch keine Maske.

 

[_macminimal]

...wenn du das gerne möchtest...

Es geht schlicht darum, das keine Methode abseits des Zahlencodes als "sicher" bezeichnet werden kann/konnte. Jedes Mal gibt es einen Aufschrei wenn biometrische Verfahren "geknackt" werden. Ja selbst wenn sie eingeführt werden, dürf(t)en sie keine sensiblen Daten erheben oder speichern.

Ich finde hier sollten sich viele der Erschrockenen still und leise entscheiden was sie wollen. Das regelmäßige Staunen darüber das Fingerabdrücke oder andere Körperteile imitiert werden können und wenn dies gut gemacht wird, auch missbraucht werden können wundert einen ein Bisschen.

 

[Stete]

Naja,
Am Ende ist nichts sicher. Auch ein sechsstelliger Code besteht wohl bei den meisten Nutern aus dem Geburtsdatum, dabei muss man nur überlegen englisches oder deutsches Datumsformat. Und dann reichen schon die Versuche bevor es sich komplett sperrt. Handybesitzer,Ehemann/Ehefrau,Kinder und schon ist man im Gerät.
Nachdem nun klar ist, dass die Firma beim letzten Mal doch etwas getrickst haben muss,warum sonst nochmal ein Beweis mit viel besserer Maske. Ist die ganze Aktion für mich fraglich, die Kosten für den Drucker wären für den Artikel und die Einordnung des Aufwandes doch interessant. Reicht einer für 500€ oder einer für 30000€?

 

[Overchurch]

@Overchurch Der Test soll zeigen, dass es durchaus möglich ist, FaceID auszutricksen - nicht mehr und nicht weniger, also bitte nicht so überheblich.

Im übrigen.. es wird kein "Abdruck von deinem Gesicht genommen", indem dir irgendwelche Pampe in's Gesicht geschmiert wird, sondern es wird ein digitaler Abdruck genommen. Sprich, ein paar Fotos von deinem Gesicht reichen vollkommen um dein Gesicht in ein 3D Modell umzuwandeln und auszudrucken.

Ich bin nicht überheblich :-D!
Es ist einfach nur nix Besonderes! Und ein paar nette kleine Fotos am Bahnhof reichen für die Maske eben nicht aus. Da musst du dich nochmal besser informieren . Das Ergebnis bleibt aber das Gleiche: Für die Praxis völlig uninteressant!

Wenn ich dir eine Waffe an den Kopf halte, bringt dir auch ein 18-stelliger Code nix...außer dass du ihn vielleicht in dem Moment vergessen hast.

 

[miccmaniac]

Eigentlich ist es am einfachsten wenn ich dem Besitzer den Kopf abhacke, und dann das phone entsperre. Aber zurück setzen kann ich das phone trotzdem nicht. Also bringt der Kopf alleine nichts, ich müsste auch das Gehirn verpflanzen um an die id zu kommen. Fazit, ich müsste mindestens drei Menschen töten für das Projekt!

 

[Arcane]

Und ein paar nette kleine Fotos am Bahnhof reichen für die Maske eben nicht aus. Da musst du dich nochmal besser informieren .

In deinem ersten Post wusstest du noch nicht einmal, wie man so einen Abdruck überhaupt bekommt und in deinem zweiten Post unterstellst du mir, ich hätte ich keine Ahnung davon und müsse mich erstmal besser informieren, argumentierst mit "es wäre nichts besonderes" und bringst dann das Totschlagargument mit der Waffe?