Galaxy S9, OnePlus 6: Forscher umgehen Gesichtserkennung mit Modellen aus 3D-Druckern

Forbes hat bei eigenen Tests vier aktuelle Android-Smartphones per Gesichtserkennung mit einem 3D-Modell des Kopfs eines Nutzers entsperrt. Die Sicherheitsfunktion ließ sich beim LG G7 ThinQ, Samsung Galaxy S9, Samsung Galaxy Note 8 und OnePlus 6 austricksen – dem Bericht zufolge jedoch nicht beim iPhone X.

Für seine Untersuchung ließ der Autor des Berichts bei einem Unternehmen in Birmingham ein 3D-Modell seines Kopfs erstellen. Je nach Gerät und gewählten Einstellungen hoben die Geräte jedoch unterschiedlich schnell die Gerätesperre auf. So verfügen Note 8, S9 und G7 über eine Option für eine „schnellere Erkennung“, die nach Angaben von Samsung beziehungsweise LG weniger Sicherheit bietet – und bei den Tests von Forbes auch tatsächlich leichter mit dem 3D-Modell zu täuschen war.

Die langsame Option machte es beim Note 8 beispielsweise erforderlich, Lichteinfall und Blickwinkeln anzupassen, um das Geräte freizuschalten. Noch mehr Aufwand musste beim LG G7 betrieben werden. Letztlich war bei allen Geräten auch die langsame Option kein wirksamer Schutz vor dem Betrugsversuch.

Hersteller weisen auch Schwächen hin

Positiv hebt Forbes jedoch hervor, dass Samsung und auch LG bei der Einrichtung der Gesichtserkennung ausdrücklich darauf hinweisen, dass sich eine Gesichtserkennung austricksen lässt und einen geringeren Schutz bietet als andere biometrische Verfahren wie Iriserkennung oder Fingerabdrücke – oder gar ein klassischer PIN oder Passwort. Samsung bietet zudem die Gesichtserkennung nur für das Entsperren des Geräts an. Sie steht weder für die Aktivierung des Sicheren Ordners noch für die Authentifizierung bei Apps oder Websites zur Verfügung.

Beim OnePlus 6 kritisiert Forbes, dass während der Einrichtung nicht auf die Nachteile der Gesichtserkennung gegenüber anderen Verfahren hingewiesen wird. Auch unterstütze das Gerät nicht die langsamere und sicherere Methode. „Und trotz einiger Sci-Fi-Grafiken, die beim Registrieren eines Gesichts gezeigt werden, öffnete sich das Telefon sofort, wenn es dem falschen Kopf präsentiert wurde. Es war zweifellos das am wenigsten sichere der von uns getesteten Geräte“, heißt es in dem Bericht.

Ein LG-Sprecher erklärte auf Nachfrage von Forbes, bei der Entsperrung per Gesicht stehe die Bequemlichkeit im Vordergrund. Zur Verbesserung der Sicherheit empfehle man stets die Verwendung von Passwort, PIN oder Fingerabdruck. Die Gesichtserkennung sei deswegen auch nicht für sicherheitsrelevante Apps wie Banking aktiviert.

Apples iPhone X reagierte indes nicht auf das Modell. Das Unternehmen aus Cupertino setzt nach eigenen Angaben auf eine TrueDepth-Kamera, die die genaue Geometrie eines Gesichts erfassen soll. Zudem wird ein Infrarotbild des Gesichts aufgezeichnet – spätestens daran sollte eine „leblose“ Maske scheitern.

Schwächen bekannt

Die Nachteile der Gesichtserkennung sind schon länger bekannt. Ältere Systeme ließen sich schon früher mit Fotos einer Person problemlos austricksen. Bei einem kurzen Test von ZDNet.de mit einem Galaxy S9 mit Android 9 Pie Beta zeigte sich, dass auch heute kein so großer Aufwand betrieben werden muss, um die Schwächen der Gesichtserkennung aufzuzeigen. Sie reagierte die schon anstandslos auf ein auf einem Computerbildschirm angezeigtes Foto, und zwar unabhängig davon, ob die langsame oder die schnelle Methode gewählt wurde.