17. November 2017
Nach dem Verkaufsstart vor wenigen Wochen ist Apples neuester Smartphone-Streich, das iPhone X in aller Munde. Aufgrund des Wegfalls des allseits bekannten Home-Buttons sorgt vor allem Apples neue Entsperrmethode “Face ID” für Aufsehen, die dem Nutzer die Möglichkeit gibt, sein iPhone mittels Gesichtserkennung zu entsperren. Sensoren am oberen Bildschirmrand scannen dabei das Gesicht und die Gesichtszüge des Nutzers und erkennen ihn wieder. Bei der Präsentation des iPhones hatte Apple dabei versichert, dass Face ID dabei sicherer sei als der Fingerabdruckssensor, der bei vorherigen Modellen zum Einsatz kam. Insbesondere versicherten sie, dass die Sensoren nicht durch ein Foto des Nutzers oder eine Maske überlistet werden könne. Kritiker hatten bereits nach der Ankündigung ihre Zweifel an der Sicherheit des neuen Features. Bereits vor kurem haben vietnamesische Sicherheitsforscher es nach eigenen Angaben geschafft, Face ID mit einer Maske auszutricksen.
Ein Artikel des Magazins “Wired” bestätigte nun diese Zweifel mit einem Bericht über einen kuriosen Einzelfall. Wie eine Familie in New York feststellen musste, gewährt Face ID in bestimmten Fällen Kindern den Zugang zum iPhone X der Eltern. Der zehnjährige Sohn konnte das neu eingerichtete Handy der Mutter unmittelbar und mehrmals mit seinem Gesicht öffnen. Auch das iPhone X des Vaters habe der Sohn – auch wenn nur einmalig – entsperren können.
Bereits zuvor hatten mehrere Geschwisterpaare berichtet, dass sie in der Lage seien, das iPhone X des Bruders oder der Schwester zu entsperren. Der Grund hierfür sei, dass nach Fehlversuchen der Code eingegeben wird und durch diesen Prozess Face ID kleine Änderungen an dem zuerst gescannten Gesicht vornimmt. Face ID lernt also, um weitere Fehlversuche im Laufe der Zeit weiter auszuschließen.
Apple gibt an, dass die Wahrscheinlichkeit, dass eine andere Person das iPhone X entsperren kann bei 1:100.000.000 liege. Bei Zwillingen oder ähnlich aussehenden Geschwistern sei die Wahrscheinlichkeit “anders”. Dies gelte auch für Kinder unter 13 Jahren, da deren Gesichtszüge noch nicht voll entwickelt sind.
Aus datenschutzrechlticher Sicht kann das Anlernen bzw. Ausbessern des Scans nach einem Fehlversuch eine Sicherheitslücke darstellen. Es ist daher anzuraten, in jedem Fall einen sicheren Code zu verwenden und vertrauliche Daten auf dem iPhone besonders vor dem Zugriff durch Unbefugte zu schützen.
13. September 2017
Auf der diesjährigen Keynote hatte Apple-Chef Tim Cook neben dem iPhone 8 noch ein weiteres Highlight zu präsentieren: Als „one more thing“ wurde das Jubiläumsmodell iPhone X vorgestellt.
Beim iPhone X fällt direkt auf den ersten Blick auf, dass das Display nahezu die komplette Vorderseite bedeckt. Platz für den typischen Apple Home-Button, in dem bei den Vorgängermodellen unter anderem der Fingerabdrucksensor für die Touch-ID integriert war, bleibt da nicht mehr. Anders als bei Modellen der Konkurrenz verschiebt Apple diesen Sensor jedoch nicht auf die Rückseite des iPhones, sondern ersetzt ihn durch eine komplett neue Technologie. Das iPhone X wird nicht mehr mit einem Fingerabdruck, sondern mittels Gesichtserkennung (Touch ID) entsperrt. In Zukunft legt der Nutzer zum Entsperren also nicht mehr seinen Finger auf den Home-Button, sondern er schaut sein iPhone X einfach an. Neben der Entsperrung soll die Face ID unter anderem auch für andere Dienste wie etwa Apple Pay benutzt werden.
Um die Gesichtserkennung zu ermöglichen, hat Apple in der oberen Leiste des iPhone X verschiedene Hardwarekomponenten verbaut. Das von Apple TrueDepth genannte System zur Gesichtserkennung besteht aus einer Frontkamera, einem Projektor, einer Infrarotkamera, Licht zum Beleuchten des Gesichts, einem Näherungssensor und einem Umgebungslichtsensor. Über den Projektor werden etwa 30000 unsichtbare Punkte auf das Gesicht des Nutzers projiziert und anschließend mithilfe der Kamera und den verschiedenen Sensoren ausgelesen. Dank des Infrarotsensors soll dies auch im Dunklen funktionieren. Aus diesen Informationen errechnet der im iPhone X verbaute A11 Bionic genannte Prozessor dann ein mathematisches Modell des Gesichts und speichert dieses. Zum Entsperren, oder für die Nutzung der anderen Funktionen der Face ID, wird das neu errechnete Gesichtsmodell mit dem gespeicherten Modell abgeglichen. Erst bei einer entsprechenden Übereinstimmung soll die Funktion aktiviert bzw. freigegeben werden. Nach Angaben von Apple soll der Prozessor sogar in gewisser Weise lernfähig sein und erkennen, ob der Nutzer eine Mütze trägt oder sich einen Bart hat wachsen lassen.
Um die Sicherheit der bei der Nutzung von Face ID erfassten Daten zu gewährleisten, setzt Apple, wie schon bei den Fingerabdrucksensoren, auf Secure Enclave als Sicherheitsarchitektur. Hierbei handelt es sich um einen speziell geschützten Bereich im A11, in dem die biometrischen Gesichtsdaten gespeichert werden. Darüber hinaus speichert Apple für die Face ID kein Foto, sondern nur ein mathematisches Modell des Gesichts. Nach Angaben von Apple soll es selbst beim Knacken der Sicherheitsmechanismen von Secure Enclave nicht möglich sein, dieses mathematische Modell in ein Gesicht zurück zu überführen. Zum Schutz der Privatsphäre des Nutzers werden die biometrischen Daten auch nicht in die Apple-Cloud übertragen. Sie landen also nicht auf den Servern von Apple, sondern verbleiben lokal auf dem jeweiligen Gerät gespeichert. Damit die Gesichtserkennung nicht unbeabsichtigt oder unbemerkt durch Dritte ausgelöst werden kann, erfordert das System vom Nutzer die volle Aufmerksamkeit. Die Gesichtserkennung soll sich nur dann fehlerfrei durchführen lassen, wenn der Nutzer mit offenen Augen auf das iPhone X guckt.
Inwiefern Face ID die Sicherheitsstandards einhält, die Apple verspricht, wird sich ab dem Verkaufsstart im November zeigen. Es ist davon auszugehen, dass sich ab diesem Zeitpunkt Biometrie-Experten und Hacker dem iPhone X annehmen und versuchen werden, die Gesichtserkennung zu überlisten oder sie zu umgehen. Aktuell laufen unter Experten schon die ersten dahingehenden Wetten, ob Face ID auf dem 34. Chaos Communication Congress im Dezember oder schon früher gehackt werden wird.