Security Firma trickst FaceID aus

[Jan Gruber]

Security Firma trickst FaceID aus

Es war nur eine Frage der Zeit. Nur eineinhalb Wochen nach dem Verkaufsstart des iPhone X mit FaceID demonstriert eine vietnamesische Sicherheitsfirma jetzt eine Möglichkeit, das System auszutricksen. Es wird dabei nicht, wie in anderen Meldungen, ein "böser Zwilling" benötigt. Die Firma realisierte den Hack mit Hilfe einer Maske.

Neben der verbesserten Bedienung sollte FaceID vor allem eine signifikante Steigerung der Sicherheit für die eigenen Daten bedeuten. Sicherheit hin oder her, letztlich überlisteten Sicherheitsfirmen alle modernen Systeme. Jetzt macht Bkav auf sich aufmerksam, eine Firma aus Vietnam. Sie konnte das neue Sicherheitssystem mit einer Maske überlisten. Apple selbst soll in diesem Segment Forschungen und Vorkehrungen getroffen haben - zumindest wurden Masken bei der Vorstellung thematisiert.
FaceID gehackt - aber wie?


Hierzu stellte die Firma eine Maske mit Hilfe eines 3D Druckers her. Die Nase ist eine eigene Anfertigung aus Silikon, nachgearbeitet wurde mit jeder Menge Makeup. Zugegeben, die Methode ist äußerst aufwendig für Privatpersonen - Geheimdienste sollten aber weniger Probleme mit der Reproduktion dieser Methode haben.

Bkav dokumentiert den kompletten Prozess in einem Video:

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

Hier findet ihr den passenden fünf Gründe Artikel für TouchID und ein paar Gedanken zu FaceID im Apfeltalk Editor's Podcast.

 

[Rodriguez85]

Mal ganz ehrlich.... Die Daten die ich da brauche um so eine Maske zu bauen... Da brauch ich den Besitzer ja quasi in Haft. Glaube an die Fingerabdruckdaten kommt man etwas leichter.

 

[Ricketts]

Ich bezweifele, dass sich so ein Aufwand lohnen würde, um Zugang zu EINEM iPhone zu bekommen.

 

[frank-idevice]

Und nach wenigen Fehlversuchen bzw. Inaktivität/Reboot kommt unweigerlich die PIN-Abfrage. Dann war es das schon mit der Maske.

 

[Macbeatnik]

Geheimdienste fragen einen Richter, der gibt dann grünes Licht für einen gesichtsscan oder ein Fingerabdruckscan, so wie es vermeintliche Rechtsstaaten wie Norwegen bereits in ihren Gesetzen verankert oder es planen zu verankern und schon ist das Gerät entsperrt, die Herausgabe eines sicheren PinCodes, ist das schon schwerer, denn noch, wer weiß wie lange noch, ist Folter tabu, auch wenn Kriminelle Gestalten unter den Ermittlern auch da bereits Testläufe unternommen haben, das zu umgehen.

 

[Ricketts]

Geheimdienste ... grünes Licht für einen gesichtsscan oder ein Fingerabdruckscan, ... wer weiß wie lange noch, ist Folter tabu.

Und Du glaubst, jemand, der sowas ernsthaft befürchten könnte, aktiviert an seinen Kommunikation-Geräten Face- oder Touch-I?

 

[Blade]

Wurde Touch ID damals nicht schon nach wenigen Tagen (2,3) vom CCC gehackt?
Und der Aufwand scheint ja nochmal deutlich höher zu sein, ich sehe es im Alltagsbetrieb also eher gelassen.

 

[NorbertM]

Ich gehe davon aus, dass dem eine lange Versuchsreihe vorraus gegangen ist. Diese Möglichkeit besteht bei der Entsperrung eines fremden iPhones nicht, da muss man eine Maske anfertigen und die müsste dann sofort funktionieren,

 

[ASL]

Man muss es mal so sehen: Einen fremden Fingerabdruck (auch noch den richtigen) bekommt man nicht ganz so einfach... das Gesicht kann man theoretisch im Alltag überall scannen. Jeder, der ein Gebäude betritt, könnte von mehreren hochauflösenden Kameras problemlos erfasst werden.

Aber klar, das dürfte bei den meisten Standard iPhone Benutzern nicht relevant sein.

 

[Martricks]

Also ich finde das alles lächerlich. Es wird immer präsentiert als wenn Apple ja riesen Bockmist gebaut hätte, dabei ist das doch klar das man mit entsprechendem Aufwand das System austricksen kann. Und angenommen die Füchse knacken mein Handy, und ich habe da ach so wichtige Dinge drauf, ja dann können die sich nach dem Ensperren ja mit dem verschlüsselten „Tresor“ rum ärgern in dem die wichtigen Daten gespeichert sind
Kommen sie in den Tresor rein, haben sie die Koordinaten von meinem Versteck, indem inzischen eine Tellermine auf sie wartet.
Also ich habe zwar auch paar wichtige Daten auf dem Handy, aber nix wofür es sich lohnen würde mein Iphone zu knacken. Auf dem Video sieht man auch gar nicht wie die Maske hergestellt wurde. Ich kann es mir aber denken. Also werde ich auf der Straße überfallen, und die Diebe halten nicht das Iphone vor mein Gesicht, sondern nehmen erstmal einen Gesichtsabdruck, dann verharre ich 3 Tage in einem dunklen Keller bis die Maske fertig ist, und wenn sie dann noch funktioniert, darf ich wieder gehen.
Und komischer weise obwohl Apple ja so ein unsicheres System erschaffen hat, werden jetzt alle Konkurrenten versuchen es auch nur halb so gut hinzubekommen wie Apple!

 

[Martricks]

@ASL
hochauflösende Kameras bringen rein gar nix. Dein gesicht müsste erstmal genau vermessen werden. Also mindestens genau so wie mit del jetzigen Iphone. Sprich einer müsste vor deiner Nase rumtanzen und dein gesicht vermessen mit laser oder was auch immer

 

[Cohni]

Ganz ernsthaft, ich finde es Klasse, dass es solche Firmen und Vereine wie den CCC gibt, die die Systeme an ihre Grenzen bringen.

Das ist ähnlich wie die Jailbreake-Szene. Derartiges treibt die Hersteller und Entwickler vor sich her, Ihre Systeme noch sicherer zu gestalten. So sicher, dass der normale User davon ausgehen kann, nicht dem Angriff eines Wald-und Wiesen-Gauners zum Opfer zu fallen und es den Profis zu erschweren. Und ich glaube, da sind wir schon auf einem guten Weg. Der Aufwand ist doch enorm, Systeme wie Touch-und Face-ID zu knacken.

 

[ASL]

@ASL
hochauflösende Kameras bringen rein gar nix. Dein gesicht müsste erstmal genau vermessen werden. Also mindestens genau so wie mit del jetzigen Iphone. Sprich einer müsste vor deiner Nase rumtanzen und dein gesicht vermessen mit laser oder was auch immer

Muss er nicht... im iPhone ist auch kein Laser und 3D-Filme werden auch deutlich einfacher aufgezeichnet. Im iPhone ist auch "nur" eine Kamera drin. Abgesehen davon: Was irgend jemand bauen kann, kann auch jemand anderes nachbauen.

Wie auch immer, der Aufwand wäre hoch. Wer Angst vor solchen Entsperrungen hat, wird Face ID wohl nicht benutzen. Sicherer als PIN 1234 ist es garantiert.

 

[ZZ-II]

Muss er nicht... im iPhone ist auch kein Laser und 3D-Filme werden auch deutlich einfacher aufgezeichnet. Im iPhone ist auch "nur" eine Kamera drin.

Face ID arbeitet aber nicht mit einer einzelnen Kamera sondern aus einem Verbund von 2 Kameras und dem Dot-Projektor.

Wie soll also jemand mit einer normalen Kamera dein Gesicht so Scannen um eine exakte Maske zu erstellen?

 

[Verlon]

Man muss es mal so sehen: Einen fremden Fingerabdruck (auch noch den richtigen) bekommt man nicht ganz so einfach...

die Chance, dass der passende Fingerabdruck auf dem Gerät selbst zu finden ist, ist nicht gerade gering

Gesicht kann man theoretisch im Alltag überall scannen. Jeder, der ein Gebäude betritt, könnte von mehreren hochauflösenden Kameras problemlos erfasst werden.

Da würden die Tiefeninformationen fehlen.

Natürlich, mit etwas Aufwand könnte man vielleicht eine MS Kinect Kamera umbauen, um die notwendigen Daten zu bekommen. Aber der Aufwand ist immens und man darf nicht vergessen, FaceID wie auch TouchID baut nur auf den Passcode auf und funktioniert nur temporär.

Geheimdienste fragen einen Richter, der gibt dann grünes Licht für einen gesichtsscan oder ein Fingerabdruckscan....

Wie sieht das eigentlich aus, kann die Polizei nicht einfach den Fingerabdruck, der bei dem Erstellen des Reisepasses genommen wird, nutzen? Oder gibt es diese Möglichkeit nicht im Gesetz?

Und wer ein bisschen rumreist wird eh schon bei zig Staaten die Fingerabdrücke bei der Einreise abgegeben haben.

 

[giesbert]

die Chance, dass der passende Fingerabdruck auf dem Gerät selbst zu finden ist, ist nicht gerade gering

Kommt drauf an - ich könnte mir vorstellen, dass die Abdrücke auf dem Gerät selbst viel zu verschmiert sind. In allen Demos, in denen gezeigt wurde, wie man einen künstlichen Fingerabdruck anfertigt, wird immer ein extrem sauberer Abdruck genommen.

 

[Mitglied 105182]

Geheimdienste fragen einen Richter, der gibt dann grünes Licht für einen gesichtsscan oder ein Fingerabdruckscan, so wie es vermeintliche Rechtsstaaten wie Norwegen bereits in ihren Gesetzen verankert oder es planen zu verankern und schon ist das Gerät entsperrt, die Herausgabe eines sicheren PinCodes, ist das schon schwerer, denn noch, wer weiß wie lange noch, ist Folter tabu, auch wenn Kriminelle Gestalten unter den Ermittlern auch da bereits Testläufe unternommen haben, das zu umgehen.

Fünfmal die Seitentaste drücken, dann ist Face-ID disabeled

 

[naich]

Da würden die Tiefeninformationen fehlen.

Nun ja, nicht wenn man mehrere Kameras hat (ala 3D-Kamera).
Aber auch ich halte das Problem eher für ein theoretisches.

 

[Verlon]

Nun ja, nicht wenn man mehrere Kameras hat (ala 3D-Kamera).

Da werden die Tiefeninformationen sicherlich nicht genau genug sein. Apple wird nicht mit dem IR Dot Projector arbeiten, wenn es auch ohne gehen würde.

Klar, ist dem nötigen Aufwand ist jede biometrische Authentifizierung reproduzierbar, die Frage ist halt nur, wie aufwendig es ist.

 

[paul.mbp]

Fünfmal die Seitentaste drücken, dann ist Face-ID disabeled

ist es da nicht einfacher das Gerät auszuschalten?

Taste drücken, kurz abwarten, fertig

Stell ich mir grad in einer stressigen Situation einfacher vor als fünfmal hektisch auf die Seitentaste zu drücken