Forum: Netzwelt
iPhone X: Forscher haben offenbar Apples Face ID geknackt
YouTube/ Bkav

Eine Sicherheitsfirma aus Vietnam behauptet, die Gesichtserkennung des iPhone X ausgehebelt zu haben. Für Apple wäre das peinlich, schließlich soll das System besser funktionieren als Fingerabdrücke.

Seite 1 von 3
bahnbezwinger 13.11.2017, 13:41
1.

Siehe letzten Absatz folgender verlinkter Seite: https://www.heise.de/mac-and-i/meldung/iPhone-X-Vietnamesische-Sicherheitsforscher-umgehen-Face-ID-mit-Maske-3888659.html

So klar scheint es nicht zu sein, ob eine Maske reicht.

Beitrag melden Antworten / Zitieren
st.esser 13.11.2017, 13:46
2. Kaum praktikabel

Wie jedes biometrische Verfahren hat auch die Gesichtserkennung den Nachteil, dass ein leicht für andere sichtbares Merkmal (das Gesicht) verwendet wird. Das Gesicht kann man nun mal nicht einfach wechseln, wenn es durch einen Angreifer missbraucht wird. Biometrie kann als zusätzliches Merkmal einer Mehrfaktor-Authentisierung durchaus nützlich sein, aber als alleiniger Faktor muss man sich der Angriffsmöglichkeiten bewusst sein.

Trotzdem ist der demonstrierte Angriff wenig praktikabel. Es ist nicht demonstriert worden, dass man die Gesichtserkennung eines fremden Nutzers überlisten kann, sondern nur, dass dies bei einem kooperierenden Nutzer möglich ist. Denn die Maske wird wohl kaum beim ersten Mal funktioniert haben, sondern erst nach einigen Versuchen und langwieriger Optimierung. Und weil die Gesichtserkennung nach dem 3. Fehlversuch bis zur Eingabe der richtigen PIN deaktiviert ist, hat man die notwendige Anzahl Versuche nicht. Für den legitimen Nutzer des IPhone-X ist es kein großes Problem, wenn die Gesichtserkennung nicht perfekt funktioniert und man ab und zu doch die PIN eingeben muss (das ist sowieso regelmäßig immer wieder mal der Fall, auch bei Touch-ID), aber da der Angreifer die PIN ja nicht kennt (wenn doch, dann würde er sich kaum die Mühe machen, die Maske zu bauen), hat er eben nur ganz wenige Versuche und bekommt keinen konkreten Hinweis, warum die Maske noch nicht erkannt wurde und was optimiert werden müsste.

Wie gesagt, wenn der legitime Nutzer kooperiert, dann hat man beliebig viele Versuche (weil immer wieder durch Eingabe der PIN weitere Gesichtserkennungsversuche freigeschaltet werden), aber ein "normaler" Angreifer wird diese Möglichkeit nicht haben und müsste auf Anhieb die perfekte Maske präsentieren können.

Beitrag melden Antworten / Zitieren
klarafall 13.11.2017, 13:54
3. Das ist ja eigentlich klar

Jede Sicherheitsmethode lässt sich mit genügend Zeit und Aufwand "knacken". Und daß Face-ID unfehlbar sei, sagt ja auch Apple selbst nicht. Die geben eine Fehlerwahrscheinlichkeit von 1 zu 1 Million an - klingt wenig, bedeutet aber nix anderes als daß zB. allein in Deutschland etwa 80 Leute leben, die das iPhone eines beliebigen anderen Deutschen entsperren könnten. Weltweit wäre es etwa 7500 Leute.

Beitrag melden Antworten / Zitieren
zeichenkette 13.11.2017, 14:02
4. Sieht immer noch sicherer aus als Fingerabdrücke

Da reichte es nämlich, aus einem von einem Glas oder so abgegriffenen Fingerabdruck einen kleinen Gummiabdruck zu erstellen und auf einen anderen Finger zu kleben. Dafür hier braucht man ein 3D-Abbild des echten Gesichts, mit exakten Abmessungen und muss dann eine Maske fertigen. Sieht deutlich aufwendiger aus... Dass ALLE diese Verfahren letztlich nur nachbildbare Eigenschaften prüfen, sollte klar sein. Nichts schlägt ein 16-stelliges Passwort mit Klein- und Großbuchstaben, Zahlen, Satz- und Sonderzeichen! Ist aber etwas lästig auf Dauer...

Beitrag melden Antworten / Zitieren
chk23 13.11.2017, 14:07
5.

Also erstens bleiben bei dem Verfahren noch viele Fragen offen (daher sind ja auch sämtliche Artikel darüber im Konjunktiv gehalten), und zweitens, selbst wenn alles exakt so ablief wie behauptet, wurde diese Maske nach fünf Tagen Arbeit, und mit 150€ Aufwand (wobei die dazu benötigten Geräte nicht mitgezählt wurden) erstellt.

Biometrische Entsperrfunktionen bei Smartphones dienen lediglich der Bequemlichkeit, nicht ständig einen PIN eingeben zu müssen - und nicht, um damit hochsensible, streng geheime Daten zu schützen. Kurz: Welcher Taschendieb wird wohl einen solchen Aufwand betreiben, um das in der Einkaufszone aus der Tasche eines unaufmerksamen Passanten gestohlene iPhone zu knacken?

Beitrag melden Antworten / Zitieren
chk23 13.11.2017, 14:22
6.

Zitat von zeichenkette
Da reichte es nämlich, aus einem von einem Glas oder so abgegriffenen Fingerabdruck einen kleinen Gummiabdruck zu erstellen und auf einen anderen Finger zu kleben. Dafür hier braucht man ein 3D-Abbild des echten Gesichts, mit exakten Abmessungen und muss dann eine Maske fertigen. Sieht deutlich aufwendiger aus... Dass ALLE diese Verfahren letztlich nur nachbildbare Eigenschaften prüfen, sollte klar sein. Nichts schlägt ein 16-stelliges Passwort mit Klein- und Großbuchstaben, Zahlen, Satz- und Sonderzeichen! Ist aber etwas lästig auf Dauer...
Richtig. Diese Biometrie-Methoden dienen ja nur der Bequemlichkeit, um nicht ständig den PIN neu eingeben zu müssen und das Gerät trotzdem im Alltag vor Missbrauch zu schützen.
Für die üblichen privaten Daten auf dem Smartphone sind Fingerabdruck und Gesichtserkennung mehr als ausreichend, denn *kein* stinknormaler Taschendieb, oder übel gesinnter Kollege/Klassenkamerad wird einen solchen Aufwand betreiben, um ein popeliges Privathandy zu entsperren. Und wer dem trotzdem nicht traut, kann ja nach wie vor einen sicheren PIN bzw. eine "Passphrase" verwenden.

Beitrag melden Antworten / Zitieren
bw8712 13.11.2017, 14:37
7.

Was hier im Artikel nicht erwähnt wird ist dass die Forscher hunderte Versuche mit Anpassung der Maske benötigt haben um das Telefon zu entsperren. In einer realen Situation hätte man allerdings nur maximal 5 Versuche bis das iPhone FaceID deaktiviert und man es nur noch per Code entsperren kann.

Beitrag melden Antworten / Zitieren
Lobhudel 13.11.2017, 15:07
8. Auch Herr Kremp wird bei Thema Apple NIE MÜDE...

Zitat M. Kremp: "In ihrem Bericht werden die Experten von Bkav zwar nicht müde, zu wiederholen, wie leicht es gewesen sei, Face ID zu überlisten und wie schlecht Apples System sein. Sie schränken aber selbst ein, dass es nur wenige Ziele für einen solchen Angriff auf Face ID gebe. Als Beispiele nennen sie Milliardäre, die Chefs von Großunternehmen, Staatsführer und Agenten."

So what "I-Matthias" - braucht es dann einen ganzen langen SPON-Artikel über ein - wie so oft - nicht richtig funktionierendes Gadget von Apple ???

Beitrag melden Antworten / Zitieren
peterka60 13.11.2017, 15:21
9. Mir kann eh nichts passieren, weil ich

1. Auf meinen Smartphone nichts speichere, was man wirklich nicht herausfinden darf.
2. Sowieso nie in meinem Leben ein Apple-Gerät kaufen werde.
3. Ich mein Smartphone bis zum geht nicht mehr absichere, mit dem gleichen Gerät aber schlüpfrige Bilder meiner Ehefreu und meiner Freundin in der Cloud speichere. Einige Leute lernen es offenbar nie.

Beitrag melden Antworten / Zitieren
Seite 1 von 3