Ratgeber

Wie sicher ist Apples Face ID?

Ein Artikel von , veröffentlicht am 09.01.2018, bearbeitet am10.01.2018
Foto: Adrian Sava (Unsplash)

Face ID, die Gesichtserkennung im neuen iPhone X, ist ein aufwendiges System aus Sensoren, Chips und Mathematik. Bei der Nutzung fallen durch das Einlesen biometrischer Gesichtsmerkmale sehr persönliche Daten an. Wie sicher sind diese bei Apple aufgehoben?

Apples Face ID

Viele iPhone-Nutzer haben sich an das Entsperren ihres Gerätes mit Hilfe von „Touch ID“, Apples Fingerabdruckleser, gewöhnt. Das iPhone X spart nun den Home-Button zugunsten eines größeren Displays ein.

Folglich entwickelte Apple eine neue Technologie zur bequemen Passworteingabe auf dem iPhone. Diese neue Technologie heißt „Face ID“ (deutsch: „Gesichts-Identifikation“). Face ID übernimmt auf dem iPhone X die Aufgabe, einen biometrischen „Gesichtsabdruck“, ähnlich dem Fingerabdruck, einzulesen und zu erkennen. Damit kann sich der Nutzer am iPhone X authentifizieren.

Wie funktioniert Face ID?

Zur Bewältigung der technisch anspruchsvollen Aufgabe, Gesichter fehlerfrei zu erkennen, liest das iPhone X vor der Inbetriebnahme von Face ID die biometrischen Merkmale des Nutzergesichtes ein. Hierzu verwendet Apple Infrarot-Technologie, die in die vordere Kamera des iPhone X integriert ist. Beim Einlesen der biometrischen Merkmale wird das Gesicht mit 30.000 Infrarotpunkten abgetastet und eine sehr detaillierte 3D-Karte des Gesichtes erstellt.

Zur Verwendung von Face ID, zum Beispiel beim Entsperren des iPhone X, hält der Nutzer sein iPhone in etwa 25 Zentimeter Entfernung in die Richtung seines Gesichtes. Die vordere Kamera tastet automatisch das Gesicht ab und vergleicht die eingelesen Daten mit der gespeicherten Gesichtskarte des Nutzers. Bei einer Übereinstimmung wird der Nutzer authentifiziert und das iPhone entsperrt.

Wie sicher speichert Apple die Gesichtsdaten?

Die abgetasteten Gesichtsinformationen sind sehr sensible Nutzerdaten. Aus diesem Grund werden die eingelesenen Daten auf dem iPhone verschlüsselt gespeichert. Die Gesichtsdaten werden vor der Speicherung zu einem zufälligen, gerätespezifischen Muster verändert und dann in eine mathematische Darstellung gebracht.

Diese wird verschlüsselt auf dem iPhone gespeichert. Diese mathematische Darstellung kann man sich wie eine lange Zahlenreihe vorstellen, die dazu benutzt wird, um neu eingelesene Gesichtsdaten effizient mit den eingespeicherten zu vergleichen.

Der „Secure Enclave Prozessor“ (kurz: Secure Enclave) des iPhones ist dabei für die Verschlüsselung und Speicherung der Daten zuständig. Daten, die in der Secure Enclave verschlüsselt und gespeichert werden, bleiben laut Apple lokal auf dem iPhone.

Diese Technologie kommt auch bei der Speicherung der biometrischen Daten von Apples Touch ID zum Einsatz. Die Sicherheit von Secure Enclave war Mitte des Jahres 2017 in die Kritik geraten, nachdem Hacker den zu Verschlüsselung der Daten notwendigen Sicherheits-Schlüssel veröffentlicht hatten.

Dieser Schlüssel bezog sich allerdings auf das iPhone 5s, sodass die Technologie für das iPhone 6 und höher vermutlich als sicher einzustufen ist. Apple äußert sich im Detail dazu nicht.

Kann Face ID überlistet werden?

Ich habe mir bei der Einführung von Face ID direkt die Frage gestellt, ob und wie einfach Face ID zu überlisten ist. Reicht es aus, einfach das Bild eines Nutzers vor das iPhone zu halten, um es zu entsperren? Wie sieht es mit der Unterscheidung von Zwillingen oder beim Einsatz von Masken aus?

Apple legt die Wahrscheinlichkeit, dass eine zufällige Person das iPhone X ansehen und mit Face ID entsperren kann bei etwa 1 zu 1 000 000 fest. Damit stuft Apple Face ID sicherer ein als die bekannte Touch ID, welcher Apple die Wahrscheinlichkeit einer zufälligen Entsperrung von 1 zu 50 000 zuweist.

Face ID funktioniert laut Apple auch bei der Verwendung von Hüten, Schals und Brillen und erkennt starke Veränderungen des Gesichtes, zum Beispiel nach dem Abrasieren eines Vollbartes. Dann muss die Identität von Face ID neu bestätigt werden.

Nach fünf Fehlversuchen bei der Gesichtserkennung wird Face ID deaktiviert. Dann kann man das Gerät nur noch mit dem Pin-Code entsperren.

Angeblich ist es vietnamesischen Sicherheitsforschern gelungen, aus 2D-Bildern eine 3D-Gesichtsmaske herzustellen, die Face ID überlisten konnte, wie in einem YouTube Video zu sehen ist. Diese Maske wurde mittlerweile weiter perfektioniert und kann Face ID angeblich noch einfacher austricksen, wie ein anderes YouTube-Video der Sicherheitsforscher zeigt.

Zur Herstellung der Maske benötigten die Forscher einen 3D-Drucker. Die Herstellungskosten betrugen ca. 200 US-Dollar. Der Herstellungsprozess dauert mehrere Stunden. Die massenhafte Herstellung einer solchen Maske scheint nahezu ausgeschlossen.

Eine Reproduktion des Experimentes für die Nachrichtenagentur Reuters lehnten die Sicherheitsforscher aufgrund des hohen Aufwandes ab.

Technisch einfacher konnten Geschwister Face ID überlisten. Da Face ID aktiv Veränderungen eines registrierten Gesichtes lernt, konnten zwei Brüder Face ID auf den jeweils anderen Bruder trainieren. Dabei musste jedoch der PIN-Code des iPhones wiederholt eingegeben werden. Weitere Schwächen zeigt Face ID bei Zwillingen. Das böswillige Entsperren des iPhones durch den eigenen Zwilling ist mit höherer Wahrscheinlichkeit möglich.

Face ID und Datenschutz

Wie Reuters berichtete, ermöglicht Apple App-Entwicklern, auf einen Auszug der gespeicherten Gesichtsdaten zuzugreifen. Dieser Datensatz reicht aber nicht aus, um die Gesichtserkennung zu umgehen.

Apple versucht den Missbrauch der Gesichtsdaten durch eine umfassende Nutzungsvereinbarung zu verhindern und droht mit Sanktionen bei Zuwiderhandlungen. Gesichtsdaten dürfen nur zur Entwicklung neuer Funktionalitäten und nicht für Werbezwecke genutzt werden.

Meine Meinung ist, dass gerade „kleine“ Entwickler die viele Seiten umfassende Nutzervereinbarung für Entwickler kaum lesen werden. Es besteht daher die Gefahr, dass zukünftig Gesichtsdaten zweckfremd, zum Beispiel zum Tracking von Nutzern, verwendet werden. Diese Art der Nutzung kann kaum verhindert werden.

Die Gefahr des Gewöhnungseffekts

Die größte Gefahr von Face ID liegt vermutlich in ihrem Gewöhnungseffekt an den alltäglichen Einsatz biometrischer Gesichtserkennungssysteme. Solche Systeme werden zunehmend von Sicherheitsbehörden zur Echtzeitanalyse von Kamerabildern im öffentlichen Raum eingesetzt.

Jüngstes Beispiel ist der Einsatz von Gesichtserkennungssoftware in einem Pilotprojekt am Berliner Bahnhof Südkreuz, das bei Datenschützern viel Kritik hervorgerufen hat. In anderen Ländern wie Großbritannien wurden solche Tests bereits vor einigen Jahren durchgeführt. Gesichtserkennungssoftware ist dort mittlerweile regelmäßig im Einsatz.

Jeder Leser sollte sich klarmachen, dass der Einsatz von Gesichtserkennung gerade im öffentlichen Raum einen starken Eingriff in unsere Privatsphäre darstellt. Sie ermöglicht die automatisierte Massenüberwachung großer öffentlicher Areale.

Die Anzahl privater Schutzräume im öffentlichen Raum schrumpft und Face ID könnte ein technologischer Wegbereiter sein - mit dem Ergebnis, dass der Einsatz von Gesichtserkennung bei den meisten Bürgern zukünftig eher Schulterzucken als kritisches Unwohlsein angesichts einer möglichen Totalüberwachung auslöst.

Weitere Artikel

YouTube-Video 

Schritt für Schritt: iPhone sicher einstellen | mobil & safe

Ein iPhone bringt viele Apps und Funktionen mit, die gleich zu Beginn abgefragt werden. Was davon ist nützlich, was kann man überspringen? Wir führen Schritt für Schritt durch die sichere Einrichtung eines iPhones.

Ansehen
Ratgeber 

Wer sammelt am meisten? E-Schrott im internationalen Vergleich

Reparieren ist immer am besten. Aber wenn das nicht mehr geht, wie viel Elektroschrott wird dann korrekt gesammelt? Die Mengen unterscheiden sich stark von Land zu Land. Ein Staat in Osteuropa fällt dabei positiv auf. Deutschland hinkt hinterher.

Mehr
Ratgeber 

Stalkerware: Schutz vor Überwachung ist möglich

Hersteller von Spionage-Apps werben damit, wie leicht sich mit ihren Produkten fremde Smartphones überwachen lassen. Diese Programme kommen mitunter als Werkzeug für digitales Stalking zum Einsatz. Die gute Nachricht: Sie lassen sich enttarnen.

Mehr
Kommentar 

Übers Mobilnetz zu Hause surfen? Keine gute Idee für die Umwelt

O2 kündigt Mobilverträge mit unbegrenzten Daten. Das ist doof, aber das Problem ist eigentlich Marktversagen anderer Art.

Mehr