Die Face ID, der Jürgen und die uplink-Gang

Wie man u. a. an meiner Linkliste: Antivirus (AV) ist schädlich sehen kann, schätze ich den Sachverstand von Jürgen Schmidt, Chefredakteur von heise Security und verantwortlich für den Bereich Sicherheit bei der c't, sehr und finde seine Artikel fundiert und technisch korrekt, also großartig. Und darum verwendete ich auch einige seiner Artikel in besagter Liste:

Und aus dem gleichen Grund habe ich mich gefragt, wie es denn sein kann, daß von ihm in Kommentar: iPhone X – Face ID für sicheres Entsperren? Bullshit! mehr Kraftausdrücke als Fakten zu lesen sind.

Es war einmal am Maschsee

Wie mag es dazu gekommen sein? Ich habe mir mal eine mögliche Tathergangsbeschreibung ausgedacht:

Es iss ma wieda Apple Event. Man muß was schreiben. Der Mob erwartet das. Die Kollegen erwarten das. Und Mutti. Gürgen, haben sie gesagt, Gürgen, Du guckst auf Deinem Profil-Photo immer wie eine alte Chlor-Tablette. Und dafür gibt es nicht mal ein passendes Emoji. Also, chill mal Dein Gesicht und mach Dich vor Deinem redaktionellem Ausritt, äh Auftritt, also Artikel, mal locker und sei witzig. Fahr links, gib richtig Kette und laß das Emoji raus! Du läßt Dein Bike stehen, der Bauchgurt soll Dich heute auch nicht bedrücken, und glühst am Maschsee schön mit einem großen Bierchen vor. Das macht die Schreibklaue elastisch. Danach ziehst Du Dir am Apple TV geschmeidig die Keynote rein und schreibst das Erstbeste, was Dir über die Leber läuft. Alles klar? Supi!

Gürgen macht alles richtig und befolgt den Rat. Nur als die Stelle kommt, an der es um Face ID geht, ist er nochmal ganz schnell in die Küche, Chips nachladen. Mann! Immer dann, wenn es spannend wird. Egal, werde ja nicht viel verpassen, denkt sich Gürgen.

Reality Check

Was er verpaßt hat, war dies: Face ID aktiviert nur, wenn der User die Augen auf hat und dem Gerät seine Aufmerksamkeit schenkt. Seine Theorie: "Selbst ein Taschendieb könnte das vom Cafe-Tisch geklaute Handy noch kurz vor meinem überraschten Gesicht platzieren, bevor er mit seiner Beute davon rennt." Echt? Mal sehen:

Um Erfolg zu haben, darf keiner der Punkte oben zutreffen. Schon jeder Punkt einzeln bringt den Dieb zu Fall.

Gürgens andere Sorge ist: "Was hindert den Grenzbeamten, der mein Handy aus dem Körbchen für die Durchleuchtung nimmt, mir mein Gerät kurz vor das Gesicht zu halten, um dann ungehindert meine Mails zu inspizieren?" Ich würde mal sagen: Entweder ich halt mir die Hand *huch* vors Gesicht und verdecke Mund oder Nase voller Schreck oder ich nutze vorher die Panikfunktion von iOS. Wenn ich fünf Mal (bisherige iPhones) auf die Power-Taste drücke, muß man den Code eingeben bei. Beim 8er und dem X hält man kurz die Buttons auf beiden Seiten, was bequem geht, wenn man blind in die Tasche greift. Touch ID und Face ID sind vorher nicht wieder verfügbar. Dies Tasten drücke ich also vor der Grenze.

Face ID Technik

Dann zieht Gürgen Resümee: "Schon nach diesen einfachen Überlegungen bezweifle ich ernsthaft, dass Face ID seiner Aufgabe, das Gerät gegen missbräuchliche Verwendung abzusichern, wirklich gewachsen ist. Aber natürlich habe ich es noch nicht in Aktion gesehen."

Das hatte ich doch vermutet: Du warst ja Chips holen in dem Moment als es vorgeführt und erklärt wurde :-p

Hier, lieber Gürgen, ist ein Beispiel, wie man es besser macht: How Apple’s iPhone X TrueDepth Camera Works. Die erklären erst die Technik und beurteilen aufgrund dessen dann "How Secure is Face ID?". Mit Fakten, ohne Kraftausdrücke. Ein weiteres Beispiel liefert Macwelt in Face ID erklärt – So funktioniert die Gesichtserkennung. Ihr befragt doch auch bei heise normalerweise externe Experten, um ein Thema hochwertig zu behandeln.

Und dabei lernt man: Auch rein technisch ist Apples Face ID ganz weit vorne, denn es läßt sich weder von Photos noch von Gesichtsmasken, die von Hollywood-Profis erstellt wurden, täuschen. Das liegt einerseits an der dreidimensionalen Erkennung und den Infrarot-Punkten und andererseits an der Fähigkeit auch kleinste typische Bewegungen im Gesicht zu erkennen. Das verwenden sie anscheinend nicht nur, um die Animojis zu ermöglichen, sondern wohl auch, um Lebendigkeit zu erkennen. Schon mal eine Maske gesehen, die menschlich zuckt? Oder die unter Infrarot wie ein echtes Gesicht wirkt?

Mit etwas Recherche und ohne Chips-Flaute während der Keynote, ich bin mir sicher, hättest Du das auch hinbekommen.

Die uplink-Gang

Gürgen hat nicht allein in den letzten Tagen ein paar Dinge nicht richtig mitbekommen. Seine Kollegen von c't uplink haben auch für Kopfschütteln bei mir gesorgt mit c't uplink 18.8: Galaxy Note 8, Windows härten, Tuxedo Linux-Notebook.

Der eine sagt erst, er hätte sich das Apple Event mit iPhone X nicht angesehen, weil ihn sowas nicht mehr interessiert. (Das klingt soooo erwachsen!) Er lamentiert jedoch, das könne ja nichts Dolles gewesen sein, weil ein animiertes Kack-Emoji als Höhepunkt ja echt schwach wäre. So oder so ähnlich. Daß es dabei um eine Demo der TrueDepth Kamera im iPhone X ging, kann er nicht wissen, hat er ja nicht gesehen. Animierte Emojis wären in der Tat egal, aber hier ging es darum, daß das iPhone dank der TrueDepth Kamera die Mimik des Users exakt mit dem Emoji live nachmachen kann. Und ja, von den vielen Animojis, mit denen sie das demonstriert haben, war das eine der Pile Of Poo. Warum gerade das im Gedächtnis bei Euch hängengeblieben ist, man weiß es nicht. Ich erinnere mich an das gackernde Huhn, mit dem Hair Force One viel Spaß hatte. Und die humorige Alien-Antwort von Tim.

Dann kamen noch ein paar andere Bemerkungen, die zeigten, sie reden über eine Show, die sie nicht gesehen haben. Sie wußten nicht, daß die Bereiche in den oberen Ecken des iPhone X sinnvoll genutzt werden, und es klang mir danach als wüßten sie nicht, daß Face ID ein mathematisches Modell in der Secure Enclave speichert, das nicht wieder in ein Gesicht zurückverwandelt werden kann. Da wird kein Photo abgelegt ;-)

Und dann war da noch der Spezi, der zeigen wollte, wie man Windows einfach härten kann. Seine Strategie ist, die Angriffsoberfläche zu reduzieren. Soweit so gut. Hätte er nicht vorausgeschickt, daß er Antivirus-Software auf jeden Fall drauflassen würde. Zu dumm, alles umsonst gewesen, denn AV-Software vergrößert die Angriffsoberfläche enorm. Hätte er mal den Jürgen gefragt. Also den Jürgen, nicht den Gürgen.

Peace

Schwamm drüber. Ich bin ja nachsichtig: So hat beispielsweise Uli Ries mich zwar schonmal aufs Korn genommen, was mich jedoch nicht davon abhält, wenn er eine guten Artikel bringt, diesen auch zu promoten in meiner anfangs genannten Liste: Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken. Also, liebe Freunde bei heise, Ihr bekommt wie der Uli und wie jeder andere eine zweite Chance :-) Ich glaube ganz fest an Euch! Und wie im Vorspann der Keynote zu hören: "All you need is love!" Peace! Euer MacMark

Valid XHTML 1.0!

Besucherzähler


Latest Update: 18. September 2017 at 17:49h (german time)
Link: warcraft.realmacmark.de/blog/osx_blog_2017-09-a.php