Galaxy S9, OnePlus 6: Forscher umgehen Gesichtserkennung mit Modellen aus 3D-Druckern

Forbes hat bei eigenen Tests vier aktuelle Android-Smartphones per Gesichtserkennung mit einem 3D-Modell des Kopfs eines Nutzers entsperrt. Die Sicherheitsfunktion ließ sich beim LG G7 ThinQ, Samsung Galaxy S9, Samsung Galaxy Note 8 und OnePlus 6 austricksen – dem Bericht zufolge jedoch nicht beim iPhone X.

Für seine Untersuchung ließ der Autor des Berichts bei einem Unternehmen in Birmingham ein 3D-Modell seines Kopfs erstellen. Je nach Gerät und gewählten Einstellungen hoben die Geräte jedoch unterschiedlich schnell die Gerätesperre auf. So verfügen Note 8, S9 und G7 über eine Option für eine „schnellere Erkennung“, die nach Angaben von Samsung beziehungsweise LG weniger Sicherheit bietet – und bei den Tests von Forbes auch tatsächlich leichter mit dem 3D-Modell zu täuschen war.

Die langsame Option machte es beim Note 8 beispielsweise erforderlich, Lichteinfall und Blickwinkeln anzupassen, um das Geräte freizuschalten. Noch mehr Aufwand musste beim LG G7 betrieben werden. Letztlich war bei allen Geräten auch die langsame Option kein wirksamer Schutz vor dem Betrugsversuch.

Hersteller weisen auch Schwächen hin

Positiv hebt Forbes jedoch hervor, dass Samsung und auch LG bei der Einrichtung der Gesichtserkennung ausdrücklich darauf hinweisen, dass sich eine Gesichtserkennung austricksen lässt und einen geringeren Schutz bietet als andere biometrische Verfahren wie Iriserkennung oder Fingerabdrücke – oder gar ein klassischer PIN oder Passwort. Samsung bietet zudem die Gesichtserkennung nur für das Entsperren des Geräts an. Sie steht weder für die Aktivierung des Sicheren Ordners noch für die Authentifizierung bei Apps oder Websites zur Verfügung.

Beim OnePlus 6 kritisiert Forbes, dass während der Einrichtung nicht auf die Nachteile der Gesichtserkennung gegenüber anderen Verfahren hingewiesen wird. Auch unterstütze das Gerät nicht die langsamere und sicherere Methode. „Und trotz einiger Sci-Fi-Grafiken, die beim Registrieren eines Gesichts gezeigt werden, öffnete sich das Telefon sofort, wenn es dem falschen Kopf präsentiert wurde. Es war zweifellos das am wenigsten sichere der von uns getesteten Geräte“, heißt es in dem Bericht.

Ein LG-Sprecher erklärte auf Nachfrage von Forbes, bei der Entsperrung per Gesicht stehe die Bequemlichkeit im Vordergrund. Zur Verbesserung der Sicherheit empfehle man stets die Verwendung von Passwort, PIN oder Fingerabdruck. Die Gesichtserkennung sei deswegen auch nicht für sicherheitsrelevante Apps wie Banking aktiviert.

Apples iPhone X reagierte indes nicht auf das Modell. Das Unternehmen aus Cupertino setzt nach eigenen Angaben auf eine TrueDepth-Kamera, die die genaue Geometrie eines Gesichts erfassen soll. Zudem wird ein Infrarotbild des Gesichts aufgezeichnet – spätestens daran sollte eine „leblose“ Maske scheitern.

Schwächen bekannt

Die Nachteile der Gesichtserkennung sind schon länger bekannt. Ältere Systeme ließen sich schon früher mit Fotos einer Person problemlos austricksen. Bei einem kurzen Test von ZDNet.de mit einem Galaxy S9 mit Android 9 Pie Beta zeigte sich, dass auch heute kein so großer Aufwand betrieben werden muss, um die Schwächen der Gesichtserkennung aufzuzeigen. Sie reagierte die schon anstandslos auf ein auf einem Computerbildschirm angezeigtes Foto, und zwar unabhängig davon, ob die langsame oder die schnelle Methode gewählt wurde.

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ein Kabel das Daten klaut?

Wenn das USB-Kabel mal wieder nicht aufzufinden ist, ist das Problem meist schnell gelöst. So…

3 Stunden ago

Mix an Software-Geschäftsmodellen wächst

Software-Anbieter setzen zunehmend auf Abos. Die Akzeptanz der Kunden für die neuen Geschäftsmodelle ist aber…

4 Stunden ago

Nutanix kooperiert mit Citrix

Nutanix und Citrix Systems, Inc. kündigen eine strategische Partnerschaft an für die hyperkonvergente Infrastruktur (HCI)…

5 Stunden ago

So richten Sie Richtlinien für Active Directory Passwörter ein

Administratoren wissen, dass schwache Passwörter ein Risiko darstellen. Mit der richtigen Policy für Active Directory…

7 Stunden ago

5 Wege, wie Sie dank verbesserter Sicherheit und intelligenter Konnektivität die Leistung Ihres Unternehmens steigern können

In einem Webinar mit dem Titel „5 Wege, wie Sie dank verbesserter Sicherheit und intelligenter…

1 Tag ago

Was macht Cloud-Security so komplex?

Cloud-Security funktioniert anders als On-Premises-Security und erfordert Cloud-spezifisches Expertenwissen. Um mögliche Gefahren durch Konfigurationsfehler zu…

1 Tag ago