Posted on

So leicht lässt sich die Gesichtserkennung vieler Smartphones knacken

Entsperren Sie Ihr Smartphone mit dem Gesicht? Dann könnte es sein, dass Ihre Daten nicht sicher sind. Denn nur ein einziges Foto trennt den Kleinkriminellen und Gelegenheitsschnüffler von Ihren privaten Bildern, Notizen, Chatverläufen, Bankdaten, Kontakten und mehr.

Klingt alarmierend? Ist es auch! Der Redaktion von „Computer Bild“ gelang es, eine Vielzahl von Geräten mit einfachsten Mitteln zu täuschen. Einen ausführlichen Bericht dazu finden Sie in der „Computer Bild“-Ausgabe 4/2020. Auch das ZDF berichtet über die schockierenden Ergebnisse in seiner Sendung „WISO“ am 27. Januar 2020 um 19:25 Uhr.

Face ID löste einen Trend aus

Das iPhone X hat 2017 bei der Einführung von Face ID gezeigt, welche Vorteile die Entsperrung per Gesicht hat: Der Fingerabdrucksensor fällt weg, der Bildschirm darf sich breitmachen. Außerdem ist es einfacher, das Gerät vor das Gesicht zu halten, als den Finger gezielt auf dem Sensor zu platzieren.

Computer Bild

Schnell aus der Hüfte geschossen: Mit dem iPhone 11 wird Michael Schmidt (Stellvertretender Leiter Testlabor) fotografiert
Quelle: Computer Bild

Und wer schon mal versucht hat, mit feuchten Händen sein Gerät per Fingerabdruck zu entsperren, dankt auch hier dem Gesichtsscan. Klar, auch diese Technik hat Nachteile. Trotzdem löste die Neuheit einen Trend aus. Mittlerweile kommt fast jedes Gerät vom 100-Euro-Androiden Nokia 3.2 bis zum Galaxy Note 10 Plus mit Gesichtserkennung auf den Markt. Aber sind auch alle sicher? Klare Antwort: Nein.

Wie sich die Gesichtserkennung täuschen lässt

Da die kleinen Alleskönner nicht nur eine gute Kamera, hohe Performance, tolles Display & Co. bieten, sondern auch sicher sein sollten, testet „Computer Bild“ schon seit vielen Jahren auch die biometrische Sperre der Mobilgeräte. Die Herangehensweise dieses Mal: Wie einfach lassen sich die verbauten Technologien täuschen?

Computer Bild

Das Foto wurde an einem Canon-Bürodrucker ausgedruckt und zeigt genügend Details, die auch die meisten heimischen Printer darstellen können
Quelle: Computer Bild

Sehr einfach – einfacher geht es kaum: Weder Profikamera noch Fotografie-Fachwissen, noch Photoshop-Kenntnisse sind nötig. Bei allen Testgeräten richteten wir die Erkennung zuerst mit dem echten Gesicht ein.

Mit einem Smartphone (Apple iPhone 11) wurde dann Redakteur Timur Stürmer bei guten Lichtverhältnissen fotografiert. Die Bilddatei druckten die Tester ohne weitere Bearbeitung aus.

Diese Geräte sind nicht sicher

Dann die Stunde der Wahrheit: Von 25 getesteten Smartphones ließen sich 20 Geräte mit dem Ausdruck entsperren, also nicht mit dem echten Gesicht des Nutzers, sondern per Foto. Die Übersicht zeigt, welche Modelle sicher beziehungsweise unsicher sind.

Diese Geräte ließen sich mit dem Foto entsperren:

Samsung Galaxy S10 (S10 Plus)

Samsung Galaxy Note 10 (Note 10 Plus)

Samsung Galaxy S9 (S9 Plus)

Samsung Galaxy Note 9

Samsung Galaxy A10

Samsung Galaxy M30s

Huawei P30 Pro

Huawei P30

Huawei P30 Lite

Motorola G8 Plus

Motorola Moto G7 Plus

Motorola Moto E5

Nokia 7.2

Nokia 3.2

Xiaomi Redmi Note 8T

Xiaomi Redmi Note 8 Pro

Xiaomi Mi Note 10

Sony Xperia 1

LG V40

Oneplus 7T Pro

Diese Geräte ließen sich nicht mit einem Foto täuschen:

Google Pixel 4 (Pixel 4 XL)

Huawei Mate 30 Pro

LG G8s Thinq

Apple iPhone 11

Apple iPhone 11 Pro (iPhone 11 Pro Max)

Gesichtserkennung per Frontkamera

Das Ergebnis ist beunruhigend. Aber warum ist die Gesichtserkennung bei vielen Smartphones so betrugsanfällig? Dazu werfen wir einen Blick auf die verbaute Technik. Die Hersteller setzen nämlich auf unterschiedliche Technologien, teilweise sogar je nach Modell.

Computer Bild

Die Notch schrumpft, der Bildschirm wächst. Was schön aussieht, birgt auch Gefahren: Es fehlt an Platz für Sensoren eines umfangreichen Gesichtsscanners
Quelle: Computer Bild

Ein echter Witz ist die Gesichtserkennung per Frontkamera, die alle geknackten Geräte verwenden. Die Information über die Gesichtsbeschaffenheit leitet das Smartphone aus einem gewöhnlichen Selfie ab, also einem zweidimensionalen Abbild. Da verwundert es wenig, dass sich die Gesichtserkennung bei diesen Geräten auch mit einem Foto entsperren lässt.

Schlimmer noch: Auf dem Markt setzen fast alle Geräte, egal ob Mittelklasse oder Topmodell, auf diese Technik. Es ist daher naheliegend, dass auch sie sich per Foto täuschen lassen.

Warnung zur Gesichtserkennung oft nicht klar genug

Alle Hersteller weisen zwar darauf hin, dass die Technik nicht zu 100 Prozent sicher ist. Aber welche Technik ist das schon? Hier fehlt eine ausdrückliche Warnung, dass bereits ein Foto zum Entsperren ausreicht.

Bei Huawei ist nur von „ähnlich aussehenden Gegenständen“ die Rede, bei Motorola und Nokia sogar nur von „ähnlichen Personen“, für OnePlus ist die Gesichtserkennung nur „weniger sicher als andere Methoden“, und Samsung versteckt den Hinweis bei der Registrierung des Gesichts im Aufklapptext unter „Mehr“.

Computer Bild

Eine ordentliche Gesichtserkennung braucht mehrere Sensoren, wie zum Beispiel das Huawei Mate 30 Pro
Quelle: Computer Bild

Xiaomi warnt als einziger Hersteller im Testfeld explizit und sichtbar davor, dass schon ein Foto genügt, um die Gesichtserkennung auszutricksen. Hier müssen die Hersteller nachbessern, eindeutige Warnungen aussprechen, auf die unsichere Gesichtserkennung verzichten oder gleich eine sichere Methode verbauen.

Samsung bezog gegenüber „Computer Bild“ Stellung: „Die Gesichtserkennung ist eine bequeme Methode, um ein Smartphone zu entsperren, und dient insbesondere dem persönlichen Komfort. Für eine sichere Authentifizierung bieten Samsung-Galaxy-Smartphones verschiedene biometrische Verfahren, die den Zugriff auf das eigene Gerät schützen. Bei älteren und sehr wenigen Einstiegsmodellen, bei denen diese Funktion nicht Teil des Gesamtpakets ist, empfehlen wir die Verwendung von Muster, PIN oder Passwort. Funktionsweise und Anwendungsbereich der Gesichtserkennung machen wir an mehreren Stellen vor und während der Geräteeinrichtung transparent: Es wird im Handbuch darauf hingewiesen, aber natürlich auch unmittelbar vor der Aktivierung der Gesichtserkennung im Gerät selbst.“

Samsung

Samsung weist bei der Registrierung des Gesichts auf die Sicherheitslücke hin – sofern der Nutzer auf „Mehr” drückt
Quelle: Samsung

Besser sind Face ID & Co.

Das iPhone 11 (Pro), das Google Pixel 4 (XL), das Huawei Mate 30 Pro (und sein Vorgänger das Mate 20 Pro) sowie das LG G8s Thinq ließen sich nicht so leicht betrügen. Aber was genau unterscheidet diese Modelle von den geknackten, und warum lassen sie sich nicht mit einem Foto austricksen? Seit dem iPhone X (2017) ersetzt Apple bei seinen iPhones den Fingerabdrucksensor durch Face ID.

„Computer Bild“ erklärte damals die genaue Funktionsweise von Face ID und des verwendeten TrueDepth-Kamerasystems. Einfach zusammengefasst: Die ausgefeilte Technik kombiniert gleich mehrere Sensoren, um das Gesicht des Nutzers zu erfassen. Ein Projektor legt ein Infrarotnetz aus 30.000 Punkten auf das Gesicht.

Hierdurch entsteht ein spezifisches Muster – unsichtbar für das menschliche Auge, nicht aber für die weiteren Sensoren. Die erfassen die einzigartige Struktur.

Computer Bild

Seit dem iPhone X (2017) verbaut Apple eine umfangreiche Gesichtserkennung, die mehrere Sensoren kombiniert
Quelle: Computer Bild

Huawei (beim Mate 20 Pro und Mate 30 Pro) und Google (beim Pixel 4 und Pixel 4 XL) verbauen eine sehr ähnliche Technik, LG scannt beim G8s Thinq (und den Vorgängern G8s und G8) zwar auch mit Infrarotlicht, setzt die Technik aber etwas anders ein: Eine Time-of-Flight-Kamera misst, wie viel Zeit das Licht zum Gesicht und zurück zum Gerät benötigt.

Augen auf beim Handykauf

Alle sicheren Modelle setzen also auf Infrarot-Technologie und sind mit ihren Sensoren in der Lage, dreidimensionale Eigenschaften des Gesichts zu verarbeiten. Fotos und Videos können diese Scans deshalb nicht täuschen, da diese schlichtweg keine Tiefeninformationen beinhalten.

Welche Geräte sind noch sicher beziehungsweise unsicher? Gibt es eine Faustformel beim Kauf? Kurz und knapp: Nein. Der Preis sagt nichts über die verbaute Technik aus: Auch hochpreisige Geräte wie das Oneplus 7T Pro oder das Samsung Galaxy S10 verwenden eine einfache Frontkamera für den Scan.

So genau kann Ihr Gesicht in der Öffentlichkeit erkannt werden

Es soll der Sicherheit im öffentlichen Raum dienen – doch es verunsichert viele Menschen: Die technischen Möglichkeiten sind bei der Gesichtserkennung in den letzten Jahren immer besser geworden. WELT-Reporter Marcus Tychsen hat sich umgeschaut.

Quelle: WELT

Auf den Hersteller können sich Käufer ebenfalls nicht verlassen: Je nach Modell setzen diese auf unterschiedliche Methoden. Mate 30 Pro und Mate 20 Pro kommen mit aufwendigem 3D-Scan, P30 und P30 Pro hingegen nicht – alles Topmodelle der Marke Huawei. Wer eine Gesichtserkennung nutzen möchte, sollte sich deshalb vor dem Kauf in ausführlichen Tests der „Computer Bild“ darüber informieren, welche Modelle die sichere Technik an Bord haben.

Wie sicher sind die Alternativen?

Die umfangreiche Gesichtserkennung von iPhone & Co. ist auch nicht über jeden Zweifel erhaben: Dem Leiter des Testlabors, Matthias Otten, gelang das Knacken von Face ID per Kunstkopf. Allerdings war der Aufwand hierfür mit 3D-Scan, Maskenbildner und Okularisten immens. Kein Vergleich also zum Fototrick.

Doch verfügen nur sehr wenige Geräte auf dem Markt über eine derart ausgeklügelte Technik. Für die meisten Nutzer bleiben damit die beliebten Klassiker PIN, Passwort und Fingerabdrucksensor als Alternative. PIN und Passwort gelten zwar als sicher, sind aber vor ungebetenen Blicken nicht geschützt.

Achten Sie deshalb darauf, den Code oder das Passwort nicht für jeden sichtbar einzutippen und auch darauf, nicht zu offensichtliche Ziffern beziehungsweise Wortkombinationen zu wählen: „Passwort123“ kann man sich zwar leicht merken, aber eben auch leicht erraten.

Computer Bild

Der Iris-Scanner fand noch im Galaxy S8 und S9 Anwendung und war deutlich sicherer als die Gesichtserkennung aktueller Samsung-Modelle
Quelle: Computer Bild

Besitzer des Samsung Galaxy S8 (Plus) oder Samsung Galaxy S9 (Plus) können ergänzend zur Gesichtserkennung einen Iris-Scanner verwenden, den Samsung noch in der S8- und S9-Serie verbaute. Der ist deutlich sicherer als die Gesichtserkennung der neuen Samsung-Flaggschiffe aus dem Jahr 2019 und stellt deshalb eine gute Alternative dar. Die Technik ist allerdings wenig komfortabel und benötigt oft zu viel Zeit.

Bequemer als PIN, Passwort und Iris-Scan ist ein Fingerabdrucksensor. Auch der lässt sich täuschen, „Computer Bild“ knackte bereits 2014 den Fingerabdrucksensor des Samsung Galaxy S5 – dieselbe Methode funktioniert auch noch bei aktuellen Modellen.

Allerdings benötigt das deutlich mehr Aufwand, als ein Foto zu beschaffen oder eine PIN abzulesen. Wer kann, sollte deshalb seine unsichere Gesichtserkennung durch die Entsperrung per Fingerabdrucksensor ersetzen.

Dieser Artikel stammt aus einer Kooperation mit „Computer Bild“. Klicken Sie auf diese Links, verlassen Sie welt.de und landen auf den Artikeln bei computerbild.de.

Source:

Webwelt & Technik – WELT