Euphorisch hatte Apple neulich das iPhoneX präsentiert und dabei in Superlativen über die neue Gesichtserkennung, genannt Face ID, gesprochen. Diese Methode, das Telefon zu entsperren, sei vor allem: sicher.
Nun zeigt eine vietnamesische Firma, dass dies so nicht ganz stimmt. Das Unternehmen BKAV hatte vergangene Woche einen Blogpost mit einer Überschrift betitelt, den man nur als Angriff auf Apple verstehen kann: "Face ID wurde von einer Maske überlistet, keine effektive Sicherheitsmaßnahme." Der Vorwurf lautete also: Das iPhoneX entsperrt sich bereits, wenn man eine Maske statt ein Gesicht vor die Kamera hält. In dem Videobeitrag aber hielt BKAV die Ergebnisse so kurz, dass viele zweifelten, ob die vietnamesische Firma dem großen US-Konzern wirklich etwas nachgewiesen hatte - oder eben nur große Aufregung verbreitete.
Für Face ID erstellen im Smartphone verbaute Infrarotsensoren Gesichtsbilder - sowohl anhand von 3-D-Modellen, für die 30 000 Punkte auf das Gesicht projiziert werden, als auch mithilfe von 2-D- Infrarotbildern. Diese werden laufend aktualisiert, zum Beispiel, wenn sich Nutzer eine Sonnenbrille aufsetzen, sich schminken oder einen Bart wachsen lassen. Diese Bilder werden nicht auf Server von Apple geschickt, sondern eigens gespeichert. Das ist die Sicherheitsarchitektur von Apple, die vom restlichen System größtenteils abgekoppelt ist.
Nach dem ersten Beitrag von BKAV fragten sich viele: War Face ID überhaupt auf der höchsten Sicherheitsstufe eingestellt - prüfte das Gerät also, ob es vom Benutzer angesehen wird? Und haben die Tester vielleicht nach Fehlversuchen das Passwort eingegeben? BKAV hat sich erneut geäußert, in einer Pressekonferenz arbeitet sich Chef Nguyen Tu Quang Punkt für Punkt durch: Das iPhone wird mehrfach entsperrt, es ist auf maximale Sicherheitsstufe eingestellt. Und nein, sagen die Tester, sie haben Face ID nicht darauf trainiert, eine Maske zu erkennen. "Für die Fälle, in denen unser Test erfolglos war, haben wir nicht das Passwort eingegeben, sondern das Gerät mit dem echten Gesicht entsperrt." BKAV hatte für den Versuch eine Maske aus dem 3-D-Drucker herstellen lassen.
Damit ist dem Unternehmen gelungen, was Apple explizit verhindern wollte. Die Hürden sind für böswillige Hacker immer noch recht hoch. Sie müssten zunächst ein 3-D-Modell desjenigen nachbauen, dem das Smartphone gehört.
Apple hat nach eigener Aussage viel Zeit und Geld investiert, um Face ID abzusichern. Der Konzern beauftragte Maskenbildner aus Hollywood. Die Technik sollte die Tricks der Besten lernen, um auch dagegen geschützt zu sein. Das Technik-Magazin Wired gab Tausende Dollar aus, um Face ID zu knacken und scheiterte.
Es stellt sich also die Frage, ob die Gesichtserkennung zwar zu knacken ist, der Aufwand aber enorm ist. Die Vietnamesen zeigen während der Präsentation, wie sie Face ID auf einem iPhone X neu installieren. Anschließend klebt ein Sicherheitsforscher die zweidimensionalen Ausdrucke der Augen auf sein Gesicht und entsperrt das iPhone X auf diese Weise. Sollte das der Weg gewesen sein, wie die Forscher Stück für Stück vorangekommen sind, um die fertige Maske zu erstellen, dann ist das eine sehr hohe Hürde. Schließlich sind Dutzende Anpassungen nötig - und nach fünf Fehlversuchen legt Face ID fest, dass Nutzer sich mit dem normalen Passwort einwählen müssen. Auf Anfrage kommentierte Apple die Tests bislang nicht.
Phil Schiller, Vize-Chef des Konzerns, ließ bei der iPhone-Präsentation nur eine Situation gelten, die er als ernst zunehmendes Risiko einstufte. "Falls Sie einen bösen Zwilling haben, müssen Sie Ihre sensiblen Informationen mit einem Passwort schützen." Einen weiteren Weg, um das iPhone X mit fremden Gesicht zu entsperren, zeigt eine Familie aus New York auf Youtube. Zu sehen sind Mutter, Sohn und ein iPhone X. Die Mutter nimmt ihr Gerät in die Hand und entsperrt es mithilfe der Gesichtserkennung. Anschließend gibt sie das Smartphone dem Jungen. Auch er entsperrt das Gerät, indem er in die Kamera schaut. Der Vater des Kindes erklärt, dass es sich nicht um das Zwilling-Szenario handle: "Sein Gesicht ist kleiner als das meiner Frau und die Geometrie ihrer Gesichter sind sich auch nicht ähnlich, zumindest nicht für menschliche Augen." In der Erklärung für Face ID weist Apple daraufhin, dass die Wahrscheinlichkeit bei 1: 1 000 000 liege, dass Unbefugte das Gerät entsperren können. Ausgenommen sind Zwillinge - und "Kinder unter 13 Jahre".