"Alternatives Erscheinungsbild": Face-ID-Komfortfunktion als Sicherheitsproblem

Nach Berichten über iPhone-Diebstähle mit anschließender Entführung der gesamten digitalen Identität rückt auch eine Komfortfunktion in den Blickpunkt, die Apple für seine Gesichtserkennung Face ID implementiert hat: Die Möglichkeit, beim iPhone ein zweites Gesicht zu hinterlegen. Das Feature, das auf Deutsch "alternatives Erscheinungsbild" heißt, ist eigentlich dafür gedacht, dass Menschen ein zweites Aussehen hinterlegen können – beispielsweise, wenn sie sich schminken oder mit und ohne Bart unterwegs sind, was von Face ID sonst womöglich nicht erkannt würde.

Allerdings ist Face ID derart gestaltet, dass es auch eine komplett andere Person sein darf – das "alternative Erscheinungsbild" muss keine Elemente der Originalperson aufweisen. Wie sich nun zeigt, kann dies ein Sicherheitsproblem sein, denn das zweite Gesicht wird automatisch auch für mit Face ID gesicherte Apps verwendet.

Zugriff mit dem neuen Gesicht

In der Praxis heißt dies, dass ein iPhone-Dieb, der über die Geräte-PIN verfügt (etwa durch Social Engineering oder das schlichte Beobachten des Opfers) in wenigen Sekunden auch sein eigenes Gesicht hinterlegen kann – und damit dann Zugriff auf besonders gesicherte Anwendungen hat. Das sind solche, die die PIN-Abfrage als Alternative zu Face ID abgeschaltet haben – beispielsweise viele Banking-Apps. Eigentlich gilt dies als sicherer, da ein Dieb dafür dann das App-Passwort bräuchte – und das muss nicht unbedingt auch auf dem iPhone gespeichert sein. Doch mit dem Face-ID-Trick ist das egal, weil das zweite Gesicht auch solche Apps entsperrt.

Nicht einmal eine Neueinrichtung von Face ID ist notwendig – das Gesicht des rechtmäßigen Besitzers kann einfach gespeichert bleiben. Dass nach dem Anlegen eines zweiten Gesichtes dieses sofort auch für App-Sicherheitsabfragen genutzt werden kann, hat Apple wohl aus Komfortgründen so entschieden. Die Alternative wäre, dass eine per Face ID gesicherte Banking-App oder ein sonstiges sensibles Programm hier dann automatisch nochmals ein App-Passwort verlangt, bevor es mit dem zweiten Gesicht weitergeht. Doch dies geschieht nicht, stattdessen reicht das Betriebssystem offenbar einfach ein "Face ID genehmigt" an die Anwendung durch.

Anti-Klau-Maßnahmen in iOS 17.3

Immerhin hat Apple inzwischen Maßnahmen gegen die Account-Plünderung durch iPhone-Diebe angekündigt. Mit iOS 17.3 soll die Passwortänderung – die Diebe in solchen Fällen normalerweise sofort umsetzen, um ihr Opfer aus seinem Account auszusperren – außerhalb bestimmter Orte wie Wohnung oder Arbeitsplatz nur noch zeitverzögert möglich sein. Zudem geht es nur noch mit dem (korrekten) biometrischen Faktor, also Gesicht oder Fingerabdruck – die PIN allein reicht dann nicht mehr. Auch ein zweites (oder neues) Face-ID-Gesicht lässt sich dann nur noch mittels Biometrie hinzufügen.

Apple hätte es auch einfacher haben können – und eine Lücke schließen, die dem Komfort dient. Momentan kann man nämlich – und das ist das Hauptproblem beim Einfallstor iPhone-PIN – ohne Kenntnis des alten Passworts nur mit der Zahlenkombination das bestehende iCloud-Passwort ändern. Das wird auch in iOS 17.3 noch der Fall sein. Offenbar fürchtet sich Apple vor einem Ansturm der vielen Menschen, die ihr iCloud-Passwort vergessen – und mit iPhone-PIN bislang einen einfachen Rückweg haben. Diebe dürfte das (weiter) freuen.

[Update 21.12.23 22:41 Uhr:] Verhalten in iOS 17.3 präzisiert.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden Preisvergleich jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)