Face Unlock auf Android: Echte Unsicherheit, Tests, Zahlungen und sichere Alternativen

  • Die 2D-Gesichtserkennung mit Blinzeln ist praktisch, bietet jedoch wenig Sicherheit und ist anfällig für Fotos.
  • Priorisieren Sie für Zahlungen und sensible Daten hochwertige Fingerabdruck-, PIN-/Passwort- oder 3D-/IR-Gesichtserkennung.
  • Es gibt neue Alternativen wie Polarisation und Palm ID mit besserer Lebenderkennung.
  • Verstärkter Schutz: automatische Sperre, ausgeblendete Benachrichtigungen, NFC deaktiviert und Passwort-Manager.
Emmanuel JiménezAktualisiert am

9 Minuten

Android Jelly Bean Face Unlock

Android 4.0 Ice Cream Sandwich brachte eine sehr auffällige Neuerung in das Betriebssystem, die Face Unlock, mit dem wir den Bildschirm entsperren können, indem wir dem Gerät unser Gesicht zeigen. Wenn es uns erkennt, wird es entsperrt. Wenn nicht, können wir das Telefon nicht mehr nutzen, es sei denn, wir wissen, wie wir es mit dem sekundären System entsperren können. Das Problem Es war sehr einfach, einen zu verwenden Foto dieser Person zu entsperren. In Jelly Bean Es wurde versucht, dieses Problem zu lösen, es gibt jedoch bereits diejenigen, die einen Weg gefunden haben, die Sicherheit zu umgehen.

Bei Ice Cream Sandwich war es ganz einfach. Man nahm Foto des BesitzersEin Foto, das Sie selbst mit einem anderen Telefon aufnehmen oder aus Profilen und Social-Media-Bildern abrufen konnten. Dieses wurde dem Gerät angezeigt und der Bildschirm wurde entsperrt, sobald der Besitzer des Telefons erkannt wurde. Google musste handeln um die Sicherheit dieses Bildschirm-Entsperrsystems zu erhöhen. So entschieden sie sich für Jelly Bean für eine kleines Video, anstelle eines Bildes. In diesem kurzen Video blinzelt der Benutzer. Was bewirkt das? Nun, ein Foto ist nicht mehr gültig. Die Fotos sind noch, und es wäre ein großer Zufall, zwei identische Fotos zu finden, bei denen der einzige Unterschied darin besteht, dass auf dem einen das Motiv blinzelt und auf dem anderen nicht.

Einige Nutzer haben ihre Fantasie genutzt und mit dem Testen begonnen, bis es ihnen gelang, den Bildschirm des Geräts anhand eines Standbilds zu entsperren. Alles, was dazu nötig war, war ein wenig Photoshop, obwohl Windows Paint selbst auch funktionieren würde. Zunächst machen sie ein Foto des Besitzers, bedecken die Augen in der gleichen Farbe wie die Haut und platzieren darunter ein schwarzer StreifenSchon verstanden? Kombiniere dieses Bild abwechselnd mit dem vorherigen. So entsteht ein Bild mit offenen Augen und ein anderes mit geschlossenen. Durch den Wechsel dieser beiden Bilder erzielen wir den Blinzeleffekt. Oben findest du ein Video, das die Vorgehensweise zeigt.

So funktioniert Face Unlock mit Flashen bei Jelly Bean

So verwenden Sie die Gesichtsentsperrung mit Blinzeln

Mit Jelly Bean hat Google eine zusätzliche Verifizierung namens Lebendigkeitsprüfung (Lebenscheck), der eine flackern bevor der Zugriff gewährt wird. In den Einstellungen erscheint eine Option, die beim Aufwachen des Bildschirms eine blinkende Anzeige anzeigt. Diese Idee, die bereits von einigen Herstellern wie Samsung, zielt darauf ab, ein echtes Gesicht von einem statischen Foto zu unterscheiden.

Trotzdem wurde das System selbst von Google als geringe Sicherheit und im Modus experimentell. Diese Warnung ist wichtig: Die 2D-Gesichtserkennung auf der Frontkamera misst nicht Tiefe, weder Temperatur- noch IR-Reflexionen, daher ist seine Zuverlässigkeit gegen Identitätsbetrugsversuche begrenzt.

Unter Bedingungen von schwaches Licht, komplizierte Winkel oder Veränderungen im Aussehen (Bart, Brille, Make-up), kann der Algorithmus versagen oder sogar zugeben vage ähnliche Gesichter. Obwohl das Blinzeln eine zusätzliche Ebene hinzufügt, ist die herkömmliche Gesichtsentsperrung dadurch keine narrensichere Lösung.

Face Unlock Android Unsicherheit Alternativen

Warum es weiterhin anfällig ist und wie es verspottet wurde

Schwachstellen bei der Gesichtserkennung

Der einfachste Spoofing-Angriff beginnt mit dem, was wir bereits erwähnt haben: mit nur ein Foto (vom Mobiltelefon des Besitzers, aus sozialen Netzwerken oder sogar ausgedruckt) kann ein Angreifer eine Montage vorbereiten, um das Blinzeln zu simulieren. Die beschriebene Methode ist einfach und schnell: In weniger als einer Minute wird das Bild bearbeitet, indem die Augen mit Hautfarbe bedeckt und ein dunkle Linie Um das Schließen zu emulieren, erzeugt das Abwechseln beider Bilder den Flackereffekt, der das System täuscht.

Unabhängige Tests an Mobiltelefonen verschiedener Marken zeigten, dass ein erheblicher Prozentsatz von Modellen können durch ein 2D-Foto getäuscht werden. Einige Hersteller klassifizieren ihre Systeme sogar in Sicherheitsstufen: Die Angehörigen der Oberschicht versuchen, Fälschungen zu minimieren, während die Angehörigen der Unterschicht eine höheres RisikoEs gibt freiwillige Standards (z. B. Fälschungsschwellen wie 1 von 50.000 Versuchen), die bei der 2D-Gesichtserkennung nicht immer eingehalten werden.

Dieser Vektor basiert auf der Tatsache, dass eine Handykamera nicht immer tatsächliche Tiefe noch komplexe Bewegungsmuster. Wenn der Algorithmus 2D-Sequenzen akzeptiert, die auf einem Bildschirm (oder auf Papier) wiedergegeben werden, reicht Blinzeln nicht aus. Darüber hinaus gibt es Berichte über Situationen, in denen sich zwei Personen mit einer gewissen Gesichtsähnlichkeit Zugang verschafften, was die klassische Face Unlock-Funktion als eine Komfort, keine starke Barriere.

Obwohl die Überprüfung der Lebendigkeit als eine "einfache und effektive" Lösung erschien, hat die Praxis gezeigt, dass es sich weiterhin um einen Mechanismus handelt, ungenügend gegen Angreifer mit einem Foto und grundlegenden Bearbeitungskenntnissen. Daher wird auch beim Flashen empfohlen, eine robuste sekundäre Methode einzurichten und zu prüfen, ob der Hersteller angibt Sicherheitsklasse für den sensiblen Einsatz geeignet.

Bewährte Methoden und Alternativen zum Schutz Ihres Mobiltelefons

Sichere Alternativen zu Face Unlock

  • Priorisieren Sie PIN oder langes Passwort: Eine 6-stellige oder längere PIN oder ein alphanumerisches Passwort bietet einen besseren Schutz vor unbefugtem Zugriff.
  • Verwenden Sie erweiterte Biometrie: Wenn Ihr Gerät Fingerabdruck Sensor oder Gesichtserkennung mit Tiefe/IR, ziehen Sie es der einfachen 2D-Gesichtsbehandlung vor.
  • Automatische Sperre aktivieren: Reduziert die Wartezeit bis zur Bildschirmsperre und minimiert so die Zeitfenster für mögliche Angriffe.
  • Vertrauliche Inhalte verbergen: Deaktiviert die Benachrichtigungsvorschau auf dem Sperrbildschirm und verhindert, dass Dritte Codes oder Links sehen.
  • Smart Lock mit Diskretion: Standortbasierte Vertrauensfunktionen oder Geräte in der Nähe können nützlich sein, aber nur in kontrollierten Umgebungen.
  • Vermeiden Sie öffentliche Frontalfotos: Begrenzt die Veröffentlichung hochwertiger Porträts in sozialen Medien, die Identitätsbetrugsversuchen Vorschub leisten könnten.
  • Schalten Sie NFC aus, wenn es nicht verwendet wird: So vermeiden Sie Zahlungstransaktionen, während Ihr Telefon entsperrt oder in den Händen Dritter ist.
  • Finanz-Apps: viele erfordern eine zusätzlicher Faktor; aktivieren Sie es immer und verlassen Sie sich bei der Bedienung nicht ausschließlich auf Ihr Gesicht.
  • Passwort-Manager: Verwenden Sie einen vertrauenswürdigen (z. B. 1Password) und erfordert eine zusätzliche Überprüfung für die automatische Vervollständigung.
  • Gesichtsverriegelungs-Apps von Drittanbietern: Lösungen vom Typ „Applock mit Gesicht“ erfordern Berechtigungen Kamera, Speicher und Overlay; bewerten Sie die Risiken, bevor Sie sie verwenden.

2D- vs. 3D/IR-Gesichts- und Popup-Optionen

3D/IR-Erkennung: Systeme mit Punktprojektion und Infrarotsensoren erfassen Tiefe und sie widerstehen 2D-Fotos besser. Sie sind in der Regel zuverlässiger mit Brille oder moderate Änderungen im Erscheinungsbild, obwohl sie manchmal weniger schnell sind als ein reines 2D.

Polarisation (Polar ID): Spezialisierte Unternehmen erforschen Kameras, die die Polarisationssignatur der Haut, um Leben und Textur zu überprüfen. Diese Daten können in der TEE des Chips und verschlüsselt werden; mit der Verwendung, das Modell passt sich an und verbessert. Es wurde sogar vorgeschlagen, dass es, wenn es populär wird, mit dem konkurrieren könnte Fußabdruck in Kosten und Genauigkeit, obwohl mit Debatten über Datenschutzerklärung (Eine mögliche Fernidentifizierung erfordert sehr leistungsfähige Kameras).

Palm-ID: Lesen der Handfläche mit herkömmlichen RGB/IR-Kameras. Es zeichnet sich durch hohe Geschwindigkeit und breite Kompatibilität ohne spezielle Hardware aus. Es ist eine interessante Möglichkeit, die Authentifizierung zu stärken, ohne sich auf Gesichtsausdrücke verlassen zu müssen.

Face Unlock Android Unsicherheit Alternativen

Zahlungen, Bankgeschäfte und praktische Einstellungen

zu mobiles Bezahlen, Plattformen erfordern in der Regel Biometrie hohes Niveau (höhere Klassen). Trotzdem kann das Entsperren des Telefons mit einer schwachen Gesichtserkennung Kartendaten in Apps sichtbar, daher ist es ratsam, vor der Autorisierung von Vorgängen eine PIN/einen Fingerabdruck einzugeben.

In den Android-Einstellungen lautet der typische Pfad Einstellungen > Sicherheit > Biometrie (Namen variieren: "Passwörter & Sicherheit", "Sperre & Sicherheit", etc.). Viele Modelle ermöglichen Ihnen, eine alternatives Gesicht und verbessern Sie die Erkennung, wenn Sie Maske oder Zubehör. Es gibt auch einen Trick, der von Sicherheitsfirmen verbreitet wird: das Gesicht teilweise aufzunehmen, wobei die Maske halb bedeckt ist; Wirksamkeit hängt des Geräts und es funktioniert nicht immer.

Wenn Ihr Mobiltelefon keine zuverlässige Gesichtserkennung integriert, gehen Sie zurück zum Fußabdruck oder PIN/Passwort und vermeiden Sie Dritte mit aufdringlichen Berechtigungen. Die Reihenfolge der Präferenz Bei Risikoszenarien gilt normalerweise: langes Passwort > starke PIN > Fingerabdruck > 3D/IR-Gesichtserkennung > einfache 2D-Gesichtserkennung.

Face Unlock Android Unsicherheit Alternativen

Jelly Bean: Kontext und andere relevante Verbesserungen

Jelly Bean war ein Fortschritt in fließend und Gesamterlebnis. Zu den neuen Funktionen gehörten Google Now, ein proaktiver Assistent mit Karten für nützliche Informationen wie Wetter, Verkehr, Flüge und Kalender. Der Zugriff erfolgte mit einer Geste der Home-Taste, um schnell Kontextinformationen anzuzeigen.

Es integriert auch nativ die Screenshots Mit der Kombination aus Ein-/Aus-Taste und Leiser-Taste gelangten sie zum Benachrichtigungscenter, wo sie sofort Inhalte teilen oder bearbeiten konnten. Das Entfernen von Apps und Widgets für die Desktop-Verwaltung wurde einfacher. nach oben ziehen Klicken Sie auf das Symbol, um sie zu entfernen.

In der Telefon- und Kontakte-App können Gesten wie Swype Sie haben gängige Aktionen optimiert: Wischen nach rechts zum Anrufen oder Wischen nach links zum Senden einer Textnachricht aus dem Protokoll. Dies sind kleine Details, die in ihrer Kombination das Gefühl eines ausgefeilteren Systems verstärken.

Die Erweiterung der Face Unlock-Funktion um das Blinzeln passte in diese Reihe schneller und praktischer Einstellungen. Als Sicherheitsmechanismus blieb es jedoch in der Kategorie geringe Robustheit, nützlich zum bequemen Entsperren, aber nicht für Hochrisikoszenarien.

Face Unlock Android Unsicherheit Alternativen

Blink Face Unlock war ein Versuch, die Messlatte von statischen Fotos höher zu legen, aber der Ansatz 2D lässt Raum für Techniken der Identitätswechsel erschwinglich. Die Kombination einer Methode robust, bewährte Verfahren und, soweit möglich, Technologien mit Tiefe oder körperliche Anzeichen (IR, Polarisation, Handfläche) ist die ausgewogenste Möglichkeit, den Komfort aufrechtzuerhalten, ohne die Sicherheit zu beeinträchtigen.