Es hat nicht lange gedauert. Nachdem das Wall Street Journal und Wired noch daran gescheitert waren, die Gesichtserkennung des iPhone X, Face ID, mit aufwändig produzierten Masken auszutricksen, gibt es mittlerweile zunehmend Zweifel an der Sicherheit der Entsperrmethode.

So will etwa die vietnamesische Sicherheitsfirma Bkav das System mit einer gruselig wirkenden Maske überlistet haben. Dazu ist bekannt, dass das System auch bei der Unterscheidung von eineiigen Zwillingen versagt. Doch offenbar muss der biologische Verwandtheitsgrad gar nicht so groß sein. Nun ist ein Fall bekannt geworden, in dem ein Sohn das Handy seiner Mutter entsperren kann.

Wie die Mutter, so der Sohn

Wie Sana Sherwani und ihr zehnjähriger Sprössling Ammar vor laufender Kamera demonstrieren, erkennt das Apple-Gerät das Kind tatsächlich und fälschlicherweise als Besitzer. Auf das Problem war man erst durch einen Zufall aufmerksam geworden. In einem Fall konnte der Junge mit seinem Gesicht auch das Handy seines Vaters Attaullah entsperren, schreibt Wired

Die Lücke hat familiäre Auswirkungen, sollte doch Face ID eigentlich verhindern, dass da Kind sich Zugriff auf die Geräte verschafft. "Wir schreiben uns die ganze Zeit und manchmal kann es Dinge geben, von denen wir nicht wollen, dass er sie sieht", so der Vater. "Jetzt muss meine Frau solche Nachrichten immer löschen."

Experimente

Infolge experimentierte man mit dem Mechanismus. Nahm Sana Sherwani ihren Gesichtsscan unter guten Lichtbedingungen auf, konnte auch ihr Sohn das Handy ohne größere Probleme entsperren. Richtete sie die Bildschirmsperre bei gedimmtem Licht ein, benötigte er jedoch mehrere Anläufe. Dies ist insofern interessant, als dass Face ID mit einem Infrarot-Sensor arbeitet und von der Umgebungshelligkeit folglich kaum abhängig sein sollte.

Erschwerend kommt hinzu, dass das System bei jeder erfolgreichen Entsperrung offenbar weitere Merkmale des Jungen erlernte, was dazu führte, dass er das Handy in weiterer Folge wieder konsistent bei jedem Versuch entsperren konnte.

Der Vater, der als technologischer Leiter beim Unternehmen Taskstream arbeitet, findet die Schwachstelle auch aus anderen Gründen bedenklich. Denn sein Sohn hat ein kleineres Gesicht, als seine Frau und ähnelt in einigen Gesichtszügen eher ihm, weswegen ihm die Entsperrung eigentlich gar nicht möglich sein sollte.

Weitere Fälle bekannt

Der Fall legt nahe, dass auch in anderen Familien denkbar ist, dass Kinder sich via Face ID Zugriff auf das iPhone X ihrer Eltern verschaffen können. Auf Nachfrage verwies Apple lediglich auf das eigene Whitepaper zu der Technologie. Dort heißt es, dass es eine höhere statistische Wahrscheinlichkeit gibt, dass "Zwillinge, Geschwister und Kinder unter 13 Jahren, deren Gesichtsmerkmale noch nicht voll entwickelt sind", Face ID in die Irre führen könnten.

Tatsächlich gibt es weitere Fälle. Entsprechendes haben etwa zwei Brüder dokumentiert und auch bei zwei britischne Halbbrüdern mit erheblichem Altersunterschied versagte Face ID bei der Unterscheidung. Während dort das System möglicherweise versehentlich "trainiert" wurde – gibt man nach einem erfolglosen Entsperrversuch den richtigen PIN ein, so wird der Scan als "korrekt" eingespeist – war dies laut Ammars Vater allerdings nicht der Fall. Er empfiehlt besorgten Eltern, die Entsperrung mit anderen Familienmitgliedern zu erproben.

Wer komplett sicher gehen möchte, kann Face ID auch deaktivieren. Dann muss allerdings jedes Mal der PIN-Code eingegeben werden. Eine Alternative biometrische Entsperrmöglichkeit, etwa mittels Fingerabdruck, bringt das iPhone X nicht mit. (red, 15.11.2017)