Gleich zu Beginn ihrer Pressekonferenz am Mittwochmittag (Ortszeit, hier zum Ansehen) räumen die IT-Sicherheitsforscher der vietnamesischen Firma BKAV mit zwei Missverständnissen auf. Erstens: Sie zeigen den Bildschirm des überlisteten iPhone X länger. Zweitens: Sie zeigen die Einstellungen des Geräts. Chef Nguyen Tu Quang (vietnamesisch: Nguyễn Tử Quảng) hofft laut eigener Aussage, dass die letzten Zweifel der internationalen Presse beseitigt seien.
Die Firma hatte am vergangenen Donnerstag einen Blogpost mit einer Überschrift veröffentlicht, den man nur als Frontalangriff auf Apple verstehen kann: "Face ID wurde von einer Maske überlistet, keine effektive Sicherheitsmaßnahme".
Bei der Präsentation des iPhone X im Septemper hatte Apple euphorisch über die neue Technologie Face ID gesprochen, wie sicher diese sei. Sie wird dazu verwendet, das iPhone zu entsperren. Für Face ID erstellen im Smartphone verbaute Infrarotsensoren Gesichtsbilder - sowohl anhand von 3-D-Modellen, für das 30 000 Punkte auf das Gesicht projiziert werden, als auch mit 2-D-Infrarotbildern. Diese werden laufend aktualisiert - zum Beispiel, wenn sich Nutzer eine Sonnenbrille aufsetzen, sich schminken oder einen Bart wachsen lassen. Diese Bilder werden nicht auf Server von Apple geschickt, sondern in Secure Enclave gespeichert. Das ist die Sicherheitsarchitektur von Apple, die vom restlichen System größtenteils abgekoppelt ist. (Mehr Details dazu hier)
Die Forscher von BKAV beantworten alle offenen Fragen - bis auf eine
Zunächst hatten die Forscher von BKAV ihre Ergebnisse nur sehr kurz in einem Video gezeigt. Dieses ließ viele Fragen offen. Warum wird der Bildschirm des iPhone nur so kurz gezeigt? War Face ID überhaupt auf der höchsten Sicherheitsstufe - prüfte das Gerät also, ob es vom Benutzer angesehen wird? Und haben die Forscher vielleicht nach Fehlversuchen das Passwort eingegeben?
Nun nimmt sich Nguyen mehr Zeit: Punkt für Punkt arbeitet sich BKAV an den Kritikern ab. Das iPhone wird mehrfach entsperrt. Ebenfalls werden die Einstellungen gezeigt - sie sind auf der Maximalstufe. Und nein, sagen die Forscher, Face ID wurde nicht darauf trainiert, eine Maske zu erkennen. "Für die Fälle, in denen unser Test erfolglos war, haben wir nicht das Passwort eingegeben, sondern das Gerät mit dem echten Gesicht entsperrt." Die Forscher hatten für ihren Versuch eine Maske aus dem 3-D-Drucker gemacht und eine Nase aus Silikon modelliert. Gesamtkosten knapp 130 Euro.
Damit ist den Forschern gelungen, was Apple explizit verhindern wollte. Auch wenn die Hürden für einen Angriff für böswillige Hacker recht hoch sind, weil sie erst einmal ein 3-D-Modell des Gesichts nachbauen müssten, das zu dem Menschen gehört, dessen Smartphone sie knacken wollen.
Apple verwandte nach eigener Aussage viel Zeit und Geld, um Face ID abzusichern. Der Konzern beauftragte Maskenbildner aus Hollywood. Die Technik sollte die Tricks der Besten lernen, um auch dagegen geschützt zu sein. Das Technik-Magazin Wired gab Tausende Dollar aus, um Face ID zu knacken - und scheiterte.
Offen bleibt bei BKAV nur eine Frage: Die Forscher zeigen während der Präsentation, wie sie Face ID auf einem iPhone X neu aufsetzen. Anschließend klebt ein Sicherheitsforscher die zweidimensionalen Ausdrucke der Augen auf sein Gesicht - und entsperrt das iPhone X auf diese Weise.
Sollte das der Weg gewesen sein, wie die Forscher Stück für Stück vorangekommen sind, um die fertige Maske zu erstellen, dann ist das eine sehr hohe Hürde. (Im Interview mit der BBC sprechen die Forscher davon, dass es neun Stunden dauert, um eine neue Maske zu erstellen.) Schließlich sind Dutzende Anpassungen nötig - und nach fünf Fehlversuchen legt Face ID fest, dass Nutzer sich mit dem normalen Passwort einwählen müssen.
Apple sprach nur vom "bösen Zwilling"
Apple-Vize Phil Schiller ließ bei der iPhone-Präsentation nur eine Situation gelten, die er als ernstzunehmendes Risiko einstufte. "Falls Sie einen bösen Zwilling haben, müssen Sie Ihre sensiblen Informationen mit einem Passwort schützen."
Einen weiteren Weg, um das iPhone X mit einem fremden Gesicht zu entsperren, zeigt eine Familie aus New York in einem einminütigen Video auf Youtube. Zu sehen sind Mutter, Sohn und ein iPhone X. Die Mutter nimmt ihr iPhone in die Hand und entsperrt es mit ihrem Gesicht. Anschließend gibt sie das wieder gesperrte Smartphone dem Jungen.
"Ich werde dieses Telefon entsperren, und zwar mit diesem hübschen Gesicht", sagt der Junge und zeigt mit dem Finger auf sich selbst. Es gelingt ihm. In einem Blogpost auf Linkedin schreibt Attaullah Malik, der Vater des zehnjährigen Kindes, dass es sich hierbei nicht um das "Böse-Zwilling"-Szenario handle: "Sein Gesicht ist kleiner als das meiner Frau - und die Geometrie ihrer Gesichter sind sich auch nicht ähnlich - zumindest nicht für menschliche Augen."
Für "Kinder unter 13 Jahren" gelten andere Kriterien
In der Erklärung für Face ID weist Apple daraufhin, dass die Wahrscheinlichkeit bei 1:1 000 000 liege, dass Unbefugte das Gerät entsperren können. Ausgenommen sind die schon erwähnten Zwillinge und "Kinder unter 13 Jahren". In diesen Fällen kann es also häufiger vorkommen, dass Geräte entsperrt werden.
Für den normalen iPhone-Nutzer ist das Szenario mit dem Kind jedenfalls eines, das man ernster nehmen sollte als die Arbeit der Sicherheitsforscher. Eindrucksvoll ist die Arbeit von BKAV dennoch: So sind die Augen, mit denen Face ID überlistet wurde, zweidimensional. In der Erklärung zu Face ID schreibt Apple, dass die Smartphones "erkennen können, dass Ihre Augen geöffnet und auf das Gerät gerichtet sind". Auf Anfrage kommentierte Apple die gezeigten Fälle aber bislang nicht.