Android-Gesichtserkennung ausgetrickst
Die Gesichtserkennung von Android 4.0 kann nach Angaben des Blogs SoyaCincau mit einem Digitalfoto überlistet werden. In einem Video ist zu sehen, wie ein Samsung Galaxy Nexus entsperrt wird, indem das Gerät gegen ein anderes Smartphone gehalten wird, auf dem ein Bild des Eigentümers zu sehen ist.
In der Beschreibung des auf Youtube veröffentlichten Clips heißt es: “Auch wenn einige annehmen werden, dass das ein Trick ist und ich das Galaxy Nexus so eingerichtet habe, dass es das Bild erkennt, versichere ich, dass das Gerät mein Gesicht erkennen soll.” Der Autor forderte zudem alle Besitzer eines Galaxy Nexus auf, den Test mit ihrem Gerät zu wiederholen, um zu sehen, dass er funktioniert.
Bisher ist das Galaxy Nexus – das erste Smartphone mit Android 4.0 – noch nicht erhältlich. Der Autor führte den Test auf einem Event durch, auf dem das Gerät ausgestellt worden war. Auf die Idee habe ihn ein Tweet eines seiner Leser gebracht, der gefragt habe, ob ein ausgedrucktes Foto die Gesichtserkennung austricksen könne.
Ein Google-Sprecher teilte CNET mit, die Funktion werde als experimentell angesehen und biete nur wenig Sicherheit. Bei der Einrichtung werde der Nutzer zudem darauf hingewiesen, dass die Gerätesperre per Gesichtserkennung möglicherweise weniger sicher als eine PIN oder ein Passwort sei und dass “jemand, der Ihnen ähnlich sieht, Ihr Telefon entsperren könnte.”
Um sich Zugang zu einem gesperrten Android-4.0-Smartphone zu verschaffen, muss ein Angreifer also nicht nur Zugriff auf das Gerät haben, sondern auch ein Foto des Eigentümers. Deswegen ist eine Sperre per Gesichtserkennung immer noch sicherer, als sein Telefon gar nicht zu sperren, vor allem, wenn man sich der Einschränkungen bewusst ist.
Im Oktober hatte Tim Bray vom Android-Team per Twitter mitgeteilt, die Gesichtserkennung lasse sich nicht mithilfe eines Fotos austricksen. Er reagierte damit auf eine Äußerung von Koushik Dutta, einem Entwickler der alternativen Android-Firmware CyanogenMod, der behauptet hatte, die Funktion sei leicht zu knacken. The Next Web schrieb daraufhin: “Man konnte mit Sicherheit annehmen, dass Google verhindert, dass seine Gesichtserkennung mit einem Foto umgangen wird. Das hat es jetzt bestätigt. Das sind gute Nachrichten für diejenigen, die befürchtet hatten, ihre Freunde könnten sich mit einem Facebook-Profilfoto oder etwas ähnlichem Zugang zu ihrem Smartphone verschaffen.”