Als bekannt wurde, dass das iPhone X mit dem Face ID genannten Gesichtserkennungsmechanismus anstelle eines Fingerabdruckscanners erscheinen würde, waren bald erste Stimmen zu hören, die Bedenken hinsichtlich der Sicherheit äußerten. Das ist freilich nachvollziehbar, denn derlei Systeme haben sich in der Vergangenheit immer wieder viel zu einfach überlisten lassen. So ist es etwa gelungen, den Iris-Scanner des Samsung Galaxy S8 mit einem Foto zu knacken.

So einfach gestaltet sich dies beim neuesten und teuersten Apple-Smartphone allerdings nicht. Diese Erfahrung hat man nun beim Tech-Magazin Wired gemacht. Nach eigenen Angaben hat man tausende Dollar in den Versuch investiert, Face ID zu umgehen, ist aber letztlich daran gescheitert.

Hacker und Maskenexpertin an Bord

Dabei hat man keine Mühen gescheut. Man engagierte den bekannten Hacker Marc Rogers der Firma Cloudflare. Er war einer der ersten, die es 2013 schafften, Touch ID auszutricksen. Auch die Dienste der Hollywood –Maskenmacherin Margaret Caragan wurden im weiteren Verlauf in Anspruch genommen. Als Gesichtsmodell diente Journalist David Pierce, dessen Antlitz in das iPhone X eingespeichert wurde.

Face ID arbeitet mit einem Infrarotsensor, der 30.000 für das menschliche Auge unsichtbare Lichtpunkte über dem Gesicht verteilt. Die Kamera ermittelt in Echtzeit die Verzerrungen dieser Punkte und generiert daraus ein 3D-Modell. Dazu gibt es auch einen "Lebendigkeits-Check", der etwa über Augenbewegungen ermittelt, ob ein Mensch das Gerät entsperren will. Einzig Farbe dürfte keine Rolle für das System spielen, muss es doch unter unterschiedlichsten Lichtbedingungen funktionieren.

Als Orientierung diente ein Versuch des Wall Street Journal. Dort hatte man es mit einfache Silikonmasken versucht, Details wie künstliche Augenbrauen aber ausgespart. Face ID hatte diesen Test bestanden. Erst bei eineiigen Geschwistern versagte es.

Aufwendige Maskenerstellung

Pierces Gesicht wurde mit professionellem Maskensilikon eingeschmiert. Das Material der Firma "Smooth-on-Silk" soll in der Lage sein, sich selbst von feinen Haaren wieder zu lösen, sobald es getrocknet ist. Ganz so gut funktionierte dies dann allerdings nicht und so verlor Pierce beim Abzug "einige hundert Haare".

Als Träger der Maske musste man nun jemanden finden, der möglichst ähnliche Gesichtsproportionen – insbesondere den gleichen Abstand zwischen den Augen sowie Augen und Kinn aufwies. Fündig wurde man bei seinem Redaktions-Kollegen Jordan McMahon. Auch sein Gesicht wurde "silikonisiert".

Aus den beiden Abzügen kreierte Caragan schließlich in mühevoller Arbeit eine Maske, die nach Außen die Züge von Pierce besaß, aber passgenau auf McMahons Gesicht auflag. Umgesetzt wurde sie in fünf verschiedenen Materialien: durchsichtiges Silikon, teiltransparentes, weiches Vinyl, Gelatin, steinartiges Pflastermaterial sowie steifen Kunststoff. In 17-stündiger Arbeit wurden die Varianten aus Gelatin und Silikon zusätzlich mit künstlichen Augenbrauen aus tausenden Haaren versehen.

iPhone says no

Doch nichts half. Jede einzelne Maske wurde vom iPhone nach kurzer Zeit abgelehnt. Manchmal weigerte sich das Telefon überhaupt, ein Gesicht zu erkennen. Doch man wollte nicht aufgeben. Man vermutete McMahons breiteren Nasenansatz als Ursache des Versagens. Also besserte man mit speziellem Wachs nach, das üblicherweise von Leichenbestattern eingesetzt wird.

Dazu versuchte man, mit Blitzlicht und Studiobeleuchtung nachzuhelfen. Doch nach sechs Stunden musste man schließlich aufgeben.

Zuversicht

Apple habe mit Face ID ein "robustes System" geschaffen, attestiert er der Technologie. Dennoch ist er zuversichtlich, dass er oder jemand anderer bald einen Weg finden wird, sich am Gesichtsscanner vorbei zu schummeln. Dabei beruft er sich auf Gespräche mit Apple-Technikern, die ihm mehr über Face ID verraten haben.

Es ist allerdings nicht wahrscheinlich, dass ein Dieb auf der Straße vor dem Überfall einen Gesichtsscan durchführt. Und auch die Produktion einer lebensgetreuen Maske ist viel zu unpraktisch. Räuber oder Exekutivbeamte würden Betroffene eher dazu zwingen, in die Kamera zu schauen.

Interessant ist wohl auch die Suche nach Sicherheitslecks in der Software, zumal Apple App-Herstellern einen Teil der Gesichtsdaten zur Verfügung stellt. Zudem konnten Hacker in der Vergangenheit auch schon erfolgreich Fingerabdrücke auf Basis von Fotos replizieren. Ähnliches könnte in Zukunft einmal auch mit Gesichtern gelingen, damit würde ein Scan direkt am Opfer nicht mehr notwendig sein. (gpi, 8.11.2017)