Android 4.0: Entsperrung durch Gesichtserkennung ist nicht sicher

Googles Gesichtserkennung zur Entsperrung von Android-4.0-Geräten soll sich mit einem Foto überlisten lassen. Dies will ein Blogger herausgefunden haben und demonstriert es in einem Video. Er zeigt, wie er das Samsung Galaxy Nexus entsperrt, indem er ein Bild von sich auf einem anderen Smartphone vor das Nexus hält.

Schon im Oktober ist Koushik Dutta, ein Entwickler der alternativen Android-Firmware CyanogenMod, zum gleichen Ergebnis gekommen. Er twitterte: "Das Gesichtserkennungs-Entsperr-Ding ist wirklich einfach hackbar. Zeig ihm ein Foto". Google-Entwickler Tim Bray wies das mit einer Twitter-Antwort zurück: „Nope. Give us some credit“ (Nein. Vertrau uns ein wenig).

Ein Google-Sprecher betonte gegenüber dem Newsdienst CNet, dass diese Funktion als experimentell angesehen werde und nur wenig Sicherheit biete. Auch die Anwendung weist den Benutzer darauf hin, dass die Entsperrung per Gesichtserkennung unsicherer ist als ein Muster, eine Pin oder ein Passwort: "Jemand, der Ihnen ähnlich sieht, könnte Ihr Telefon entsperren."

Solche Probleme von Gesichtserkennungssoftware sind nicht ganz neu. Bereits 2002 trickste c’t für einen Test die biometrische Zugangssicherung mit einem Foto aus. In dem Artikel "Biometrische Zugangssicherungen auf die Probe gestellt" werden verschiedene Produkte und Verfahren geprüft. Bislang scheinen zumindest die Verfahren, wie sie sich mit Produkten für private Verbraucher realisieren lassen, nicht viel zuverlässiger geworden zu sein. (dta)