Face ID: Maske überwindet auch die Aufmerksamkeitsprüfung
Schon vor zwei Wochen kursierte eine Meldung, wonach es Sicherheitsspezialisten gelungen war, Face ID aus dem iPhone X mit einer speziell gefertigten Maske zu überlisten. Natürlich bedarf es dazu enormem technischen Verständnis. Mit normalen Hausmitteln lässt sich nicht einfach der Besitzer eines iPhone X in Knete nachbauen und dessen iPhone entwenden. Die von Bkav entworfene Maske stellt kein komplettes Gesicht dar, sondern nur jene Bereiche, die Face ID auch auswertet. Jetzt legt das aus Vietnam stammende Unternehmen nach und stellt Generation 2 der Täuschungsmaske vor. Diese kann dem iPhone X sogar vortäuschen, gerade aktiv auf das Gerät zu sehen und somit die zusätzliche Schutzstufe "Aufmerksamkeitsprüfung für Face ID" austricksen. Andernfalls entsperrt Face ID nicht alle Funktionen des iPhone X.
Zwei weitere Wochen Arbeitszeit waren nötig, um auch akkurate Augenpartien zu fertigen, die Face ID "Aufmerksamkeit" suggerieren. Bkav verbaute dazu zweidimensionale Infrarot-Bilder der Augen, welche dann in die Augenpartie gesetzt wurden. Die eingesetzte Maske ist den Gesichtseigenheiten des Sicherheitsforschers nachempfunden. Die Entsperrung klappt angeblich immer ohne Fehlversuch. Bkav betont, das Gesicht des Besitzers und nicht die Maske eingespeichert zu haben. Allerdings erscheint die Behauptung, jeder könne jetzt ganz einfach Face ID überlisten, reichlich übertrieben und effekthascherisch.
So sind nicht nur Materialen im Wert von mehreren Hundert Dollar erforderlich, außerdem müssen noch ein 3D-Drucker akkurat konfiguriert sein, Zugriff auf ein gesperrtes iPhone X bestehen und die exakt vermessenen Gesichtsdaten des Nutzers vorliegen. Da nach fünf Fehlversuchen ein Passcode erforderlich wird, gibt es auch wenig Spielraum, sich nach und nach heranzutasten. Aus diesem Grund gelang Bkav zwar eine beeindruckende technische Demonstration - allerdings kein Beweis, dass sich Face ID wie behauptet sehr einfach austricksen lässt. Mit Fotos oder Theratermasken hat man keinerlei Chance - bei Masken reicht nicht die Nachbildung aller Gesichtsformen, es ist wie erwähnt auch hohes technisches Verständnis der Funktionalität von Face ID erforderlich. Apple weist allerdings auf einen Fall hin, in dem Face ID tatsächlich nicht zu trauen ist: Wer einen bösen Zwilling habe, solle besser auf Codeeingabe statt Face ID setzen...