Sicherheit
Android-Gesichtserkennung auf dem Prüfstand
von
Thorsten
Eggeling - 20.11.2011
Die Gesichtserkennung ermöglicht es in Android 4.0, das Smartphone auch ohne PIN-Eingabe zu entsperren. Das geht schnell und ist praktisch, weil man sich den Zugangscode nicht merken muss. Aber ist das auch sicher?
Software für die Gesichtserkennung gibt es für den PC und jetzt auch für Android-Smartphones. Android 4.0 Ice Cream Sandwich wird mit einer Gesichtserkennung („Face Unlock“) ausgeliefert, die zum Entsperren des Smartphones einsetzen lässt. Statt eine vierstellige PIN einzugeben, genügt es, das Gesicht vor die eingebaute Kamera zu halten und schon ist der Zugriff auf das Gerät für den Besitzer möglich. Das erste Smartphone mit Android 4.0 ist das Galaxy Nexus, das in Deutschland ab Anfang Dezember ausgeliefert wird.
Nun hat ein Blogger herausgefunden, dass sich die Entsperrung des Samsung Galaxy Nexus leicht überlisten lässt. Dazu hielt er lediglich ein Bild von sich auf einem anderen Smartphone vor das Galaxy Nexus. In einem Video demonstriert er, wie das genau funktioniert.
Noch Ende Oktober behauptete ein Google-Mitarbeiter laut The Next Web, dass die Gesichts-Entsperrung sich nicht durch Fotos austricksen lassen würde. Nun gab Google gegenüber dem Newsdienst CNet zu, dass diese Funktion noch experimentell sei und das Verfahren unsicher ist. Allerdings weist die Software bei der Auswahl der Entsperrfunktionen unmissverständlich darauf hin, dass die Entsperrung per Gesichtserkennung unsicherer ist als ein Muster, eine PIN oder ein Passwort. Unter „Face Unlock“ erscheint hier der Hinweis „Low security, experimental“.
Grundsätzlich könnte auch eine Software zur Gesichtserkennung für die sichere Authentifizierung eines Benutzers verwendet werden. Dazu ist aber ein relativ großer technischer Aufwand nötig. Ein wichtiger Baustein dabei ist die „Lebenderkennung“, die ein Foto von einer echten Person unterscheiden kann. Dafür ist es nötig, eine 3D-Aufnahme des Gesichts zu erstellen und Augen- oder Mundbewegungen mit in die Erkennung einzubeziehen. Zusätzlich kann auch eine Spracherkennung für mehr Sicherheit sorgen. Ein Foto reicht dann nicht mehr, um die Software zu überlisten. Mit einem geeigneten Video inklusive Sprachaufzeichnung lässt sich prinzipiell aber auch diese Hürde überwinden.
