> > > > Face ID nun mit allen Sicherheitsfunktionen überlistet

Face ID nun mit allen Sicherheitsfunktionen überlistet

Veröffentlicht am: von

faceidBereits kurz nach Erscheinen des iPhone X konnten Sicherheitsforscher aus Vietnam die Face-ID-Sensorik mit einer Maske überlisten. Dazu war allerdings eine 3D-Druck-Maske notwendig, die etwa 150 US-Dollar in der Herstellung kostet. Touch ID konnte deutlich einfacher überlistet werden und auch für den Iris-Scanner des Samsung Galaxy S8 reichten eine Infrarot-Aufnahme des Auges und ein Laserdrucker aus.

Nun haben die Sicherheitsforscher nachgelegt und wollten Face ID auch mit aktiviertem Aufmerksamkeitsprüfung überlisten. Diese prüft, ob der Nutzer auch auf das Display schaut. Ist die Aufmerksamkeitsprüfung aktiviert, reicht ein einfaches Vorhalten eines Gesichts nicht mehr aus.

Dazu mussten die Forscher ihre Maske aber weiter verbessern. So findet der Druck weiterhin mit einem 3D-Drucker statt. Bei diesem kommt ein Steinmehl zum Einsatz, was die Oberfläschenstruktur der Maske verbessern soll. Außerdem wurden die Augenpartien mit 2D-Infrarot-Aufnahmen nachgebildet. Die 3D-Aufnahmen des Gesichtes und die 2D-Infrarot-Aufnahmen der Augenpartien ließen sich recht einfach im Vorbeigehen erstellen. Die Anfertigung der Maske ist jedoch etwas aufwändiger und soll etwa 200 US-Dollar kosten. Der Zeitaufwand soll neun bis zehn Stunden betragen.

Im Video wird demonstriert, wie das Face ID auf dem iPhone X mit dem echten Gesicht und aktivierter Aufmerksamkeitsprüfung eingerichtet wird. Danach erfolgt das Entsperren über die Maske im ersten Versuch. Die Sicherheitsforscher sehen Face ID in dieser Umsetzung also als kritische Sicherheitslücke an.

Face ID und andere Mechanismen bleiben unsicher

Eine hundertprozentige Sicherheit gibt es nicht. Daran ändert auch Face ID nichts, allerdings war dies von Anfang an bekannt. Es ist immer eine Frage des Aufwandes. Während Touch ID und die bisher verwendeten Iris-Scanner sich noch reicht leicht überlisten ließen, muss für Face ID etwas mehr Aufwand betrieben werden. Für den privaten Bereich ist eine Absicherung mittels Face ID oder Touch ID immer noch besser als gar kein Kennwert oder viermal die Null.

Personen, die sensible Daten auf ihrem iPhone X umhertragen, sollten anstatt auf Touch ID, Face ID oder andere Entsperrungsmechanismen auf Basis von Biometrie lieber ein möglichst komplexes Passwort verwendet. Dies ist der Bequemlichkeit sicherlich nicht zuträglich, Sicherheit ist aber auch immer ein Kompromiss.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (18)

#9
Registriert seit: 28.06.2016

Gefreiter
Beiträge: 46
Zitat Don;25982064
Das ist hier aber nicht der Fall. Face ID wurde neu eingerichtet und dann direkt damit entsperrt. Der Anlern-Prozess hat nicht stattgefunden.


„Neu eingerichtet“ steht für mich für größere Toleranzen. Wenn das System beim ersten Einrichten - bewusst ohne Brille - beim ersten Versuch mit Brille sofort funktioniert, scheint da noch ein größerer Spielraum vorhanden zu sein.
Später gab es dann neue Situationen, wo es nicht gleich funktioniert hat, werden die dann per PIN bestätigt, lernt das System dazu und die Entsperrung funktioniert auch da.
#10
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11848
Zitat EmPas;25982231
Aber das ist doch total unhöflich, und illegal

Auch wenn du das sarkastisch meintest - das ist definitiv ein Argument. Jedenfalls wenn man vor dem ausgeht was die Aluhutträger immer befürchtet - dass eine Regierung an seine Daten will :D

Für den Normalo dem das Handy aus der Tasche geklaut wird, ist das ganze natürlich reichlich irrelevant...
Der Dieb mag zwar gewaltbereit sein, aber was würde er überhaupt mit den Daten machen? Paypal ist so ziemlich der einzige Dienst der direkt verwendbar wäre, wenn man sein Passwort eingespeichert hat. PP ist aber sehr kulant wenn es um Diebstahl geht.
Shops wie Amazon verlangen in aller Regel eine erneute Authentifizierung wenn man an eine neue Addresse verschicken will.


Das mit dem Anlernprozess ist auch ein Punkt. Wenn sich der Algorithmus auf die Person eingestellt hat, könnte es schwieriger werden.
#11
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5428
Zitat
Personen, die sensible Daten auf ihrem iPhone X umhertragen, sollten anstatt auf Touch ID, Face ID oder andere Entsperrungsmechanismen auf Basis von Biometrie lieber ein möglichst komplexes Passwort verwendet.

Na eben. Das war ja klar.

Zitat estros;25982216
Wenn ich das Handy von deiner Person entsperrt haben möchte, verlange ich unter Gewaltandrohung das Passwort. So einfach ist das.

Und sobald Du hast, was Du brauchst, bringst Du die Person um, damit Deine Straftat vertuscht ist. So einfach ist das. Das Passwort zu sagen, wäre das dümmste, was jemand überhaupt tun kann.
Wenn jemand tatsächlich unbedingt da ran möchte, wird er einen solange am Leben lassen, wie er das Passwort nicht kennt, weil er da sonst nie mehr ran kommt.
#12
customavatars/avatar47118_1.gif
Registriert seit: 12.09.2006
Berlin ist Vorort davon
Admiral
Beiträge: 12603
An einem gewissen Punkt handelt der Täter aber noch irrationaler und schwenkt um...


Besser wäre also ein System wo man ein Passwort für Diebe setzen kann zum verraten, wo nur Sachen zu sehen sind die einem nicht stören und alles was verändert wird nur bis zum ausschalten des Displays bleibt

freundliche Grüße :)
#13
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5428
Zitat Flatsch;25984149
Besser wäre also ein System wo man ein Passwort für Diebe setzen kann zum verraten, wo nur Sachen zu sehen sind die einem nicht stören und alles was verändert wird nur bis zum ausschalten des Displays bleibt

Hört sich nach einem tatsächlich sehr sinnvollen Ansatz an!

Edit: Allerdings würde ich das nicht nach dem ausschalten des Displays löschen, sondern auch dort Änderungen in einem anderen Zweig speichern, der danach wieder zurückgesetzt werden kann. Sonst kann der Täter wieder reinschauen und weiß, dass er das Fake-Passwort hatte.
#14
customavatars/avatar182491_1.gif
Registriert seit: 23.11.2012

Korvettenkapitän
Beiträge: 2351
Zum Patentamt! :D
#15
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11848
Äh, Leute, was genau soll ein Dieb/Angreifer mit euren Handydaten anfangen?
Der ist höchstens daran interessiert das Gerät sofort auf Werkseinstellungen zurück zu setzen, um es wertvoller verkaufen zu können.
#16
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5428
Zitat DragonTear;25990638
Äh, Leute, was genau soll ein Dieb/Angreifer mit euren Handydaten anfangen?


Du arbeitest wohl nicht? Dann ist Dir wohl nicht klar, was passieren kann, wenn man NDA-Daten leaked, indem das Handy oder Laptop gestohlen wird. Teilweise machst Du mir ja einen recht vernünftigen Eindruck, aber gerade was die Privatsphäre betrifft, habe ich wirklich das Gefühl, Du würdest hinter dem Mond leben...

[COLOR="red"]- - - Updated - - -[/COLOR]

Übrigens hat endlich auch die Bundesregierung wenigstens ein Problem erkannt: Bund will Windows 10 über Bundesclient sicher nutzen können
Allerdings ist es natürlich nur ein frommer Wunsch, durch den "Bundesclient" Windows sicher nutzen zu können und das Programm wird sicherlich nicht billig. Schließlich wird in den Rechnern weiterhin das Backdoor der Intel Management Engine laufen und unsere bürgerlichen Daten mitteilen können. Zudem wird es nur in der öffentlichen Verwaltung eingesetzt - Richtlinien für Krankenkassen, Krankenhäuser usw. fehlen weiterhin!
Andere haben die einzig logische Konsequenz aus den ganzen Datenschutzskandalen gezogen, die vor allem amerikanische Firmen zu verantworten haben:
Schleswig-Holstein läutet Abschied von Microsoft ein

Edit:
Zitat
Die schleswig-holsteinische Landesdatenschutzbeauftragte Marit Hansen wies gegenüber heise online darauf hin, dass die Basis der Informationsgesellschaft "zurzeit auf einem unsicheren Fundament basiert – mit Sicherheitslücken, versteckten Hintertüren und eingebauten Überwachungs- und Tracking-Möglichkeiten."

Ich kann nur jedem Mann, der sich als Sicherheitsexperte wähnt, und in der IT-Branche auf Microsoft-Produkte setzt, empfehlen, sich mal ein Beispiel an dieser offensichtlich sehr gebildeten Frau zu nehmen! Die Zukunft kann meiner Meinung nach nur OpenSource als Fundament sein, damit die in den Rechten eingeschränkten Programme darauf sicher laufen können und so wird man auch Closed-Source-Programme auf Benutzerebene sicher betreiben können.
#17
customavatars/avatar178670_1.gif
Registriert seit: 20.08.2012

Kapitän zur See
Beiträge: 3920
Zitat
Andere haben die einzig logische Konsequenz aus den ganzen Datenschutzskandalen gezogen, die vor allem amerikanische Firmen zu verantworten haben:
Schleswig-Holstein läutet Abschied von Microsoft ein


Tralala Ende von LiMux: Umstellung auf Windows 10 kostet Stadt München knapp 50 Millionen Euro | ZDNet.de

Am Ende ist es immer die Bequemlichkeit des End Benutzers das die großen (evtl. auch richtigen ) Pläne im Sande verlaufen lässt. Hast du dann noch externe Dienstleister die es nicht schaffen alle georderten Programme sauber zu integrieren, bleibt doch nur auf bekannte und funktionierende (besser bekannte Macken) Lösungen zu setzen.

Und für solche Projekte werden sinnlos Millionen Steuergelder verschwendet, die an zig anderen Stellen Stellen (nein keine Geld Geschenke an andere Staaten), sinnvoller angewendet werden könnten.

Davon abgesehen hat das aber eigentlich auch nichts mit dem Thread zu tun.



Zitat
Zitat Zitat von Flatsch Beitrag anzeigen
Besser wäre also ein System wo man ein Passwort für Diebe setzen kann zum verraten, wo nur Sachen zu sehen sind die einem nicht stören und alles was verändert wird nur bis zum ausschalten des Displays bleibt


Hat Motorola bzw auch andere Android Systeme nicht so etwas in der Art bzw. kann man so nutzen? Man müsste doch nur eine getrennte Authentifizierung einsetzen um in den Privaten oder in den Unternehmen Modus zu starten. Siehe Knox usw...
#18
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5428
Zitat butcher1de;25991451
Am Ende ist es immer die Bequemlichkeit des End Benutzers das die großen (evtl. auch richtigen ) Pläne im Sande verlaufen lässt.

Das ist es in dem Fall aber ja nicht. Die IT-Firmen, Gutachter, Sicherheitsberater, Opposition etc. haben sich ja größtenteils massiv gewehrt. Der selbsternannte "Microsoft-Fan" Dieter Reiter, OB der Stadt München, hat quasi als erste Amtshandlung mit Microsoft einen Deal beschlossen, dass das Unternehmen seinen Hauptsitz vom wenige Kilometer nördlich gelegenen Oberschleißheim nach München verlegt. Die Microsoft Deutschland GmbH hat einen Umsatz von ca. 3,4 Milliarden Euro pro Jahr. Wenn die Microsoft Deutschland GmbH ähnliche Gewinnanteile am Umsatz hat, wie Microsoft als gesamtes, dann könnte München somit mit deutlich mehr als 100 Millionen Euro Einnahmen aus der Gewerbesteuer rechnen. Dann würde so ein Geschäft München in reinem Geld dennoch ein paar Millionen Euro bringen, selbst wenn sie knapp 100 Mio. für den Umstieg bräuchten. Und die Einnahmen fließen ja in den Folgejahren weiter.

Nehmen wir jetzt einfach mal ganz hypothetisch an, der Münchner OB hätte Oberschleißheim die Umsatzsteuer von Microsoft gestohlen, indem er Microsoft verspricht, zurück auf Windows zu wechseln. Dann wird auch klar, warum die Opposition mit Argumenten wie Sicherheit, immensen Kosten, Datenschutz der Münchner Bürger etc. gegen eine Wand redet, während die aktuelle Stadtregierung so einleuchtende Argumente hervorbringt, wie: Zitat Anne Hübner, SPD: "Wir brauchen den Windows-10-Client". - Die reinste Karnevalsveranstaltung, weil anscheinend keiner sagen möchte, wie die Sache eigentlich gelaufen ist.

Ich kann ja leider niemandem etwas unterstellen, aber wenn es so gewesen wäre :hust:, dann hätte es die deutsche Bevölkerung als Gesamtes viele Millionen gekostet, zudem würden die Münchner um die Sicherheit ihrer Daten betrogen und nur Microsoft und die Stadt München hätten etwas mehr Geld in der Tasche.

Zitat butcher1de;25991451
Davon abgesehen hat das aber eigentlich auch nichts mit dem Thread zu tun.

In diesem Thema geht es hauptsächlich um FaceID und somit auch Datensicherheit. Dass es im Zusammenhang mit dem iPhone steht, ist aber nicht Hauptgegenstand des Themas, sondern es geht darum, dass Gesichtsscanner allgemein nicht so sicher sind, wie Passwörter. Bei der FaceID und auch beim Fingerabdruckscanner ist eine höhere Bequemlichkeit vorhanden, als beim klassischen Passwort. Dennoch hält sich die Zahl der Nutzer in Grenzen. Ich sehe die meisten weiterhin ein Passwort nutzen, auch weil die paar Zahlen eben doch nicht so schwer zu merken sind, wenn man sie jeden Tag wie automatisch eingibt.

Insgesamt stimme ich zu, dass Sicherheit bequem sein sollte. Und dass es auch ein Hindernis sein kann, wenn sie zu unbequem wird: Beispielsweise Verschlüsselung mittels PGP. Da wird es den meisten dann doch einfach zu lästig. Aber es gibt da durchaus eine Schwelle, bei der die Leute auch gerne kleinere Hürden in Kauf nehmen. Ich finde es auch wichtig, beispielsweise im Zusammenhang mit FaceID darüber zu diskutieren, wie bequem Sicherheit sein muss und wie viel Bequemlichkeit die Menschen bereit sind, dafür aufzugeben.
Nur wenn es um Geld geht, und wenn ein paar Millionen winken, dann gibt es eben auch skrupellose Leute, die ihre eigene Mutter verkaufen würden.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Samsung Galaxy A3 (2017) und Galaxy A5 (2017) im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SAMSUNG_GALAXY_A3_A5_2017

Einmal befriedigend, einmal gut, zweimal zu teuer: Vor fast genau einem Jahr konnten Samsungs Galaxy A3 und Galaxy A5 des Jahrgangs 2016 überraschen, aber nicht vollends überzeugen - trotz teilweise großer Fortschritte. Erfolgreich war das Gespann dennoch, eine Neuauflage mehr als... [mehr]

Samsung Galaxy S8 im Test - Technik toll, Format mau (Video-Update)

Logo von IMAGES/STORIES/2017/SAMSUNG_GALAXY_S8_02

Für Samsung bricht eine neue Zeitrechnung an. Denn das Galaxy S8 ist nicht nur Topmodell Nummer 1 nach dem Desaster rund um das Galaxy Note 7, mit dem erstmaligen Einsatz des Infinity Display ist eine gravierende Design-Änderung verbunden. Der Test zeigt, warum die Fakten anders als die... [mehr]

Huawei P10 im Test - die neue 5-Zoll-Referenz

Logo von IMAGES/STORIES/REVIEW_TEASER/HUAWEI_P10

Aus der Smartphone-Landschaft ist Huawei spätestens seit dem Frühjahr 2016 nicht mehr wegzudenken. Mit dem P9 schaffte es das Unternehmen, sich selbst in der Oberklasse zu etablieren. Im Herbst legte man mit dem Mate 9 eine Größenklasse weiter oben nach, nun folgt das P10. Die Fußstapfen sind... [mehr]

Huawei P10 lite im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/HUAWEI_P10_LITE

Wer P sagt, muss auch lite sagen: Wie schon im vergangenen Jahr setzt Huawei 2017 auf eine P-Familie mit drei Mitgliedern. Durften das P10 und P10 Plus ihre Premiere im Rampenlicht des MWC schon Ende Februar feiern, wurde des P10 lite nun knapp vier Wochen später nachgereicht. Vielleicht nicht... [mehr]

Moto G5S im Test: Fast das Brot-und-Butter-Smartphone

Logo von IMAGES/STORIES/2017/MOTO_G5S

Halbjahres- statt Jahresrhythmus: Ungewöhnlich schnell hat Motorola respektive Lenovo das Moto G5 und Moto G5 Plus überarbeitet. Offiziell handelt es sich beim Moto G5S und Moto G5S Plus zwar jeweils nur um eine Special Edition, tatsächlich aber sind die Änderungen nicht unerheblich.... [mehr]

HTC U11 im Test

Logo von IMAGES/STORIES/2017/HTC_U11_TEST

Auf 10 folgt U11: Was falsch klingt, ist nach Ansicht HTCs die logische Weiterentwicklung des letztjährigen Flaggschiffs. Denn nicht nur die Technik wurde auf den aktuellen Stand der Dinge gebracht, auch neue Funktionen wie Edge Sense oder Active Noise Cancelling sollen Käufer locken. Doch dass... [mehr]