Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
Anzeige
 
 

Forscher tricksen Face ID des iPhone X mit Maske aus

Stefan Schomberg 13.11.2017 - 13:46|38
Forscher tricksen Face ID des iPhone X mit Maske aus

Forschern aus Vietnam ist es nach eigenen Aussagen gelungen, die Face-ID-Gesichtserkennung des iPhone X auszutricksen. Bislang galt das als unmöglich, auch wenn Face ID sich von Zwillingen bereits täuschen ließ.

Etwa 150 US-Dollar, entsprechendes technisches Equipment und Know-how sowie Fingerfertigkeit benötigt es, um Face ID auf dem neuen iPhone X auszutricksen. Das zumindest behaupten vietnamesische Forscher, präsentieren für den Beweis eine gruselige Maske und zeigen den Entsperrvorgang damit in einem Video. Die Maske besteht aus einem weißen Grundgerüst aus einem 3D-Drucker, das die Kopfproportionen des Originals aufweist. Hinzu kommen eine handgefertigte Nase aus Silikon, die mit Makeup so realistisch wie möglich gestaltet wurde, sowie je eine ausgedruckte Augen- und Mundpartie, die auf das 3D-Gerüst geklebt wird.

Anzeige

Mit dieser Maske, die auch einem Horrorfilm entsprungen sein könnte, entsperren die Wissenschaftler im Video das neue iPhone X und tricksen so die Gesichtserkennung aus. Laut Apple ist Face ID viel sicherer als der Fingerabdrucksensor anderer iPhones. Erste Probleme tauchten zwar schon bei der Gesichtserkennung von Zwillingen auf, die jeweils das iPhone X des anderen mit ihrem Gesicht entsperren können. Mit Masken war das bislang aber nicht geglückt. Unklar ist allerdings, ob die vietnamesischen Wissenschaftler die Aufmerksamkeitserkennung des iPhone X abgeschaltet haben. Sie soll eigentlich dafür sorgen, dass das iPhone X nur dann entsperrt wird, wenn der Nutzer auch wirklich absichtlich auf das iPhone schaut.

Keine Gefahr für einfache iPhone-Nutzer

In einer Erklärung stellen die Macher der Maske klar, dass Face ID trotz der Möglichkeit, mit einer Maske getäuscht zu werden, für normale Anwender kein Sicherheitsrisiko darstellt. Dafür sei der zu betreibende Aufwand für solche Masken einfach zu hoch, zumal auch die exakten Maße des nachzubauenden Gesichtes benötigt würden. Anders sehe das aber bei Personen wie Firmenchefs, Wissenschaftlern, Politikern oder sogar Spionen aus. Bei solchen Menschen sei der Aufwand für die Erstellung so einer Maske in Relation zum Wert der auf diese Weise zu gewinnenden Daten kaum der Rede wert.

Mehr zum Thema: Smartphones, Apple-Smartphones, Face ID

Quelle: Bkav.com

Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Lesen Sie alle 38 Kommentare in unser Community.
Kommentare
  1. heute 17:00 IchBinNichtAreamobile.de (Advanced Handy Master)

    @Echse:"Es ist KEINEM Hacker gelungen, in Apples zeitfenster Face ID zu hacken."
    >>Halt doch mal die Füße still. Nach deinem Dafürhalten ist das Cäsarchiffre sicher, weil es nach einer Woche noch nicht geknackt wurde. Ich weiß auch nicht, ob das Absicht ist, aber den Begriff "Hack" so zu nutzen und vor allen Dingen /ständig/, klingt wie ein Klischee von einem 17-jährigen Mädchen mit nem Kanal für Schminktipps, das über Computer redet.

    "Denen überhaubt etwas außerhalb des Fensters gelungen ist, haben mächtig Aufwand betrieben. Und trotzdem sind noch etliche Fragen offen."
    >>Das hört sich von dir aber ganz anders an. Dann erzähl mal welche Fragen für dich noch offen sind!

    "Pincode als standartzugang benutzt heute kein Mensch mehr. Weil es mit den üblichen Nachteilen zu kämpfen hat."
    >>Bei FaceID ist es sogar recht wahrscheinlich, dass man die PIN/Passwort häufiger eingeben muss ;)

    "Zusätzlich sind längere Pins schlecht zu merken. Sprich unkomfortabel. "
    >>Daran ändern Face ID und Touch ID rein gar nichts. Du brauchst immer noch eine zweite Methode als Backup. Face ID und Touch ID sind eine /zusätzliche/ Möglichkeit das Gerät zu entsperren.

    "Und kurze Pins sind schlicht unsicher. Das ist Fakt. Leicht zu erspähen. Etc."
    >>Nein. Da es falsch ist, ist es kein Fakt.

    "Vor Touch ID hatten die allermeisten gar keinen Schutz. Max 4 stellen."
    >>Vier Stellen gar keinen Schutz hatten die ... also doch so viel. Kein Plan warum auch gerade maximal vier.

    "Keine Maske hat Face ID in Apples zeitfenster ausgetrickst bisher."
    >>Apples Zeitfenster ... jetzt hat Apple schon Zeitfenster gepachtet.

  2. heute 15:15 Echse (Handy Master)

    ibnam

    Also. Fassen wir mal die Erkenntnise bis heute zusammen. Nach über 2 Wochen und Millionen verkauften x.
    Es ist KEINEM Hacker gelungen, in Apples zeitfenster Face ID zu hacken.
    Denen überhaubt etwas außerhalb des Fensters gelungen ist, haben mächtig Aufwand betrieben. Und trotzdem sind noch etliche Fragen offen.

    Pincode als standartzugang benutzt heute kein Mensch mehr. Weil es mit den üblichen Nachteilen zu kämpfen hat.
    nur längere Pins versprechen etwas Sicherheit. Das macht aber niemand mehr, wenn er 50 mal am Tag sein Smartphone entsperren muss.
    Zusätzlich sind längere Pins schlecht zu merken. Sprich unkomfortabel.
    Und kurze Pins sind schlicht unsicher. Das ist Fakt. Leicht zu erspähen. Etc.
    Deshalb wird auf biometrisches entsperren zurückgegriffen. Sind dadurch Smartphones unsicher geworden?
    Ganz im Gegenteil.
    Was hat denn Apple mit Touch ID geschafft?
    Vor Touch ID hatten die allermeisten gar keinen Schutz. Max 4 stellen.
    Und Touch ID hat auf bequeme Weise ermöglicht, dass man längere alphanumerische Kennwörter eingerichtet hat.
    Einfach, weil man es sehr selten braucht. Damit hat Apple die Smartphones sicherer gemacht.

    Kurze Pins ->> unsicher, unkomfortabel für den Großteil der smartphonebesitzer
    biometrische zugangssysteme—> sehr komfortabel und hohe Sicherheit

    Eineiige Zwillinge kann Face ID nicht auseinanderhalten ( sagte Apple bereits )
    Geschwister, welche sich ähnlich sehen, kann Face ID unterscheiden.
    https://video.golem.de/audio-video/20032/face-id-mit-zwillingen-und-geschwistern-ausprobiert.html

    Also. Hohe Sicherheit durch Face ID. Mit den Einschränkungen, welche von Apple schon genannt wurden.
    Das weiß man also vorher.
    Und auch wenn du hier was von Masken erzählst.
    Keine Maske hat Face ID in Apples zeitfenster ausgetrickst bisher.

    Aber für jemand, der sogar daran glaubt, dass ich überall geeignete Fingerabdrücke zur entsperrung von Touch ID hinterlasse, ist das schon schwer zu akzeptieren:)

  3. heute 13:17 IchBinNichtAreamobile.de (Advanced Handy Master)

    @Echse:"Quelle, dass Fotos bei Face ID auch reichen. "
    >>Es fällt schwer dich ernst zu nehmen, wenn du mich bewusst falsch wiedergibst. An beiden Stellen steht eindeutig, dass man anhand des Fotos eine Maske anfertigen kann. "Du brauchst nur ein Foto und kannst danach eine Maske konstruieren." --icke;

    "—> ich brauch dich nicht observieren. Dir über die Schulter schauen reicht auch schon. "
    >>Und du denkst, dass würde ich nicht merken? ;) Das würde vielleicht funktionieren, wenn du über 2 Meter groß bist, aber dann fällst du nur noch mehr auf.

    "Stichwort Urlaubsfotos. Ich weiß von mindesten 3 Arbeitskollegen die pin. Und nu?"
    >>Wer hat Urlaubsfotos geschrieben/gesagt? Hörst du Stimmen? Dass du anderer Leute PIN ausspionieren kannst, sagt jetzt mehr über deine Arbeitskollegen und vor allen Dingen über dich und deine fragwürdige Persönlichkeit aus als über die PIN selbst.

    "Und das ein foto reicht für eine Maske hast du immer nicht bewiesen. "
    >>Das machen Maskenbildner schon seit Jahren ... sowohl hobbymäßig als auch professionell. Man darf auch nicht vergessen, dass Face ID äußerst grob vorgeht (bzw vorgehen muss).

    "...die Fälle, welche Apple bereits als evtl. Problematisch ausgeschlossen hat nicht eingeschlossen."
    >>Ach na dann ist ja alles geklärt. Apple sagt, dass alles sicher ist.

    "Gemischt ist gar nichts."
    >>Ich hab bisher nicht einen Bericht gesehen, wo FaceID als besser als Touch ID bezeichnet wird oder gleichwertig. Stattdessen als schlechter oder im Fall von MKBHD (der Applefreundlich berichten muss), dass man das vllt per Software-Update beheben kann ... das klingt doch zuversichtlich ;) Immer wenn es um den Komfort geht, dann kommen die Abstriche. Die Sicherheitsaspekte können/konnten die Reviewer ja ohnehin nicht abschließend bewerten in der kurzen Zeit.
    Hier mal eine kleine Auswahl:
    https://www.theverge.com/2017/10/31/16579748/apple-iphone-x-review
    https://www.theguardian.com/technology/2017/oct/31/iphone-x-review-roundup-face-id-oled-screen-design-software
    https://gizmodo.com/iphone-x-first-look-lets-talk-about-that-whole-face-id-1819989200

    "[...] Da kannst du den Test von AM nehmen. Und noch etliche andere. In der Mehrzahl der Versuche funktioniert Face ID."
    >>In der Mehrzahl der Versuche funktioniert Face ID? Das ist ja fast schon ein bisschen. Analog: In der Mehrheit sind die Akkus des Note 7 nicht explodiert, aber was sagt das bitte aus ... rein gar nichts.

    "Aber dann möchte ich eine lückenlose Dokumentation. Nicht wie bei bkav."
    >>Was du möchtest, ist doch ziemlich egal.

    "Hast du mehr gesehen? Dann bitte verlinken."
    >>Ist doch alles schon auf AM gewesen. Geschwister und Maske dürften erstmal reichen. Ist ja auch nur der Anfang, solange die Limitierungen noch ermittelt werden.

  4. heute 11:17 Echse (Handy Master)

    >>Das alles ist bei FaceID schon gar nicht nötig. Du brauchst nur ein Foto und kannst danach eine Maske konstruieren

    Ach. Deshalb müsste man bei bkav 5 Minuten das Gesicht scannen. Die sind natürlich auf die Möglichkeit des Fotos gar nicht gekommen:) Deshalb meldeten sich keine anderen Hacker bisher. Weil es so easy ist.
    Weil es über Fotos auch geht. Quelle, dass Fotos bei Face ID auch reichen.

    >>Was bei weitem nicht so einfach ist, wie es sich anhört
    —> tsss. Jemand sitzt hinter dir oder ein starkes Fernglas.

    >>Beim PIN muss man observiert werden, bei Face ID reicht ein Foto um eine Maske anzufertigen
    —> ich brauch dich nicht observieren. Dir über die Schulter schauen reicht auch schon.
    Ausspionieren, auch unter zb. Arbeitskollegen ist überhaubt kein Problem.
    Stichwort Urlaubsfotos. Ich weiß von mindesten 3 Arbeitskollegen die pin. Und nu?
    Bräuchte ich nur noch die Smartphones.
    Und das ein foto reicht für eine Maske hast du immer nicht bewiesen. Selbst wenn das so wäre, steht die Zielperson nicht ständig zur Verfügung ( wie bei bkav). Für evtl. Nachträgliche Änderungen ( die Nase passte nicht. Musste nachmodeliert werden. Und es wurden Änderungen an der Nase durchgeführt)
    Also. Selbst wenn du über den Punkt des 3D Scans drüber bist, hast du immer noch die Max. 4 Stunden. Und 5 versuchen.


    >Bisher mindestens drei und das von Amateuren.
    ...die Fälle, welche Apple bereits als evtl. Problematisch ausgeschlossen hat nicht eingeschlossen.
    Und da ist nur der Sohn, weil die Mutter falsch eingescannt hatte.

    "Wenn Sich Tester in einem einig sind, dann darin, wie gut Face ID funktioniert."
    >>Das ist schlicht falsch. Das Urteil ist ziemlich gemischt.

    Gemischt ist gar nichts. Da kannst du den Test von AM nehmen. Und noch etliche andere. In der Mehrzahl der Versuche funktioniert Face ID.
    Wie eben Fingerabdruck auch ( auch nicht bei nassen,schwitzigen, dreckigen Fingern, Handschuhe)


    Ps.
    Möglich das nächste Woche der ccc um die Ecke kommt mit der Aussage, sie hätten Face ID gehackt.
    Aber dann möchte ich eine lückenlose Dokumentation. Nicht wie bei bkav.
    Und realitätsnah.
    Also. Vom 3D Scan der Zielperson angefangen. Dann soll sich aber Bitteschön die Zielperson verabschieden. Sie soll nur für den Scan zur Verfügung stehen ( was in der Realität schon mal gar nicht möglich ist)
    Und dann sollen die Jungs und Mädels in dokumentierten 4 Stunden ein Maske anfertigen.
    Die in Max. 5 versuchen entsperrt.

    Solange das nicht der Fall ist, kannst du gerne behaupten, wie einfach Face ID zu hacken ist. Es ist unglaubwürdig.

    Unabhängig von dem was Apple behauptet, habe ich bisher nur folgendes gesehen.
    Profis mit jahrelanger Erfahrung in biometrischer Security ( bkav) die auch keine unbeschriebenen Blätter sind und ihre Fähigkeiten bei der Gesichtserkennung von Laptops schon nachgewiesen haben, sind gescheitert.
    Hast du mehr gesehen? Dann bitte verlinken.

    Du solltest mal eines beachten. Trotz ausgiebigem 3D Scan hat es mit der Nase bei bkav nicht funktioniert. Sie musste von einem Maskenbildner neu gemacht werden.
    Und nicht nur einfach neu. Sie wurde im Nachhinein auch noch geändert ( mit Original abgeglichen, was wieder realitätsfern ist)
    Also selbst nach einem 5 minütigem gesichtsscann hat Face ID gezickt.
    Und du willst mir wirklich was von Foto s erzählen, welche auch reichen würden..:)

  5. heute 10:42 IchBinNichtAreamobile.de (Advanced Handy Master)

    @Echse:"Jemand der dich 2-3 Tage beobachtet. Aus der Ferne. Mit Fernglas etc."
    >>Das alles ist bei FaceID schon gar nicht nötig. Du brauchst nur ein Foto und kannst danach eine Maske konstruieren. Man muss hier auch nochmal darauf hinweisen, dass die Technik noch neu ist und sich die Trickmethoden noch verfeinern werden.

    "Und wenn du wieder einmal nichtsahnend in deinem Lieblingscafé sitzt und dein Smartphone entsperrst, weiß die Person deinen Pin oder dein Muster durch die Beobachtung aus der Ferne."
    >>Was bei weitem nicht so einfach ist, wie es sich anhört.

    "Unkomfortabel stimmt natürlich überhaubt nicht. Hast du schon mal Face ID ausprobiert?"
    >>Es ist rein technisch bedingt unkomfortabel (und weil deine Fantasien nicht eingetroffen sind ;)).

    "Wenn Sich Tester in einem einig sind, dann darin, wie gut Face ID funktioniert."
    >>Das ist schlicht falsch. Das Urteil ist ziemlich gemischt.

    "Es sind nicht nur die 5 versuche. Es ist die Zeit, die gegen einen Hacker arbeitet.
    Und nicht nur die 48 Stunden."
    >>Beim PIN muss man observiert werden, bei Face ID reicht ein Foto um eine Maske anzufertigen. Eine längere Observation ist also eher nicht nötig.

    "Face ID ist ^ out of the box^ die sicherste und komfortabelste biometrische entsperrmethode, die es je in einem Smartphone gab."
    >>Quelle: Apple. Man könnte auch sagen: Make biometrics great again.

    "Fingerabdruckscanner ist ähnlich komfortabel. Aber wie der ccc schon zeigte, wenn man den passenden Finger hat, leicht angreifbar.
    Mit relativ wenig Aufwand. Face ID ist da ganz anders gelagert."
    >>Hier hat es nicht mal den CCC gebraucht. Hier muss man auch nicht das richtige Gesicht erraten (wobei das beim Finger schon ein schwaches Argument war).

    "Wieviele Fälle sind denn bekannt, wo unbefugte Zugang zum x bekommen haben? "
    >>Bisher mindestens drei und das von Amateuren.

  6. heute 01:40 Echse (Handy Master)

    Ibnam

    Face ID schützt besser als Pin oder Muster.
    Einfaches, zugegeben konstruiertes Beispiel.

    Du hast wichtige Informationen auf deinem Smartphone. Und jemand möchte diese Infos. Er weiß, dass du dein Smartphone mit Pin oder Muster schützt. Keinesfalls mit Fingerabdruck.
    Und die Informationen sind so wichtig, dass sich diese Person die Beschaffung der Informationen sogar etwas kosten lässt.
    Er braucht dafür 2 Leute.
    Jemand der dich 2-3 Tage beobachtet. Aus der Ferne. Mit Fernglas etc.
    Und wenn du wieder einmal nichtsahnend in deinem Lieblingscafé sitzt und dein Smartphone entsperrst, weiß die Person deinen Pin oder dein Muster durch die Beobachtung aus der Ferne.
    Als letztes braucht es nur noch einen geschickten Taschendieb. Vielleicht wirst du mal ^aus versehen^ angerempelt. Oder er zieht das Smartphone so aus der Tasche, dass du gar nichts merkst. Und schaltet sofort in den Flugmodus.
    Damit hätte die Person Zugriff auf dein Smartphone ohne dass du was machen kannst.
    Dasselbe Beispiel jetzt bei Face ID. Tja, da ist es egal, ob man beobachtet wird. Man wird nur das entsperren per Gesicht beobachten können.
    Auch ein Taschendieb ist egal. Weil ja keine Maske existiert, ist nur das x weg. Sonst nichts.
    Die Wahrheit ist.
    Einfache Pins und Muster schützen gut gegen kleine Gauner. Wie sagtest du immer so schön?
    ^ besser als gar nichts^
    Face ID stellt sich Profis in den Weg.

    Unkomfortabel stimmt natürlich überhaubt nicht. Hast du schon mal Face ID ausprobiert?
    Wenn Sich Tester in einem einig sind, dann darin, wie gut Face ID funktioniert.

    Kommen wir nochmal zu Face ID. Was macht das ganze so kompliziert für Hacker?
    Es sind nicht nur die 5 versuche. Es ist die Zeit, die gegen einen Hacker arbeitet.
    Und nicht nur die 48 Stunden.
    Sondern auch
    Es erfolgt eine codeanforderung, wenn:

    ^....Der Code wurde innerhalb der letzten sechseinhalb Tage nicht zum Entsperren des Geräts genutzt, und das Gerät wurde innerhalb der letzten vier Stunden nicht mit Face ID entsperrt...^

    Das heißt, ein Hacker hat überhaubt keine Ahnung, wieviel Zeit ihm bleibt. Eigentlich bleiben ihm idr ungefähr 4 Stunden wenn ein Gesicht bei Face ID hinterlegt ist.Das wiederum macht das ganze fast aussichtslos, ohne Code etwas auf die Beine zu stellen.


    Face ID ist ^ out of the box^ die sicherste und komfortabelste biometrische entsperrmethode, die es je in einem Smartphone gab.
    Weder kommt ein irisscanner da mit ( langsam und unkomfortabel, auch schon gehackt) noch irgendeine Gesichtserkennung.
    Fingerabdruckscanner ist ähnlich komfortabel. Aber wie der ccc schon zeigte, wenn man den passenden Finger hat, leicht angreifbar.
    Mit relativ wenig Aufwand. Face ID ist da ganz anders gelagert.

    Also auch an dich die gleichen Frage.
    Wieviele Fälle sind denn bekannt, wo unbefugte Zugang zum x bekommen haben?
    Ohne Code.
    Im zeitfenster von Apple.

antworten
 
Aktuelle Geräte im Test
Anzeige
Anzeige