Achtung, Gefahr droht: Gesichtserkennung aktueller Smartphones mit einfachem Foto zu knacken
Wer heute ein modernes Android-Smartphone aus der Tasche zieht, nutzt oft ganz selbstverständlich die Gesichtserkennung. Es ist ja auch komfortabel: Kurz draufschauen, Schloss offen, fertig. Dass diese Bequemlichkeit ein gewaltiges Loch in die Sicherheit reißt, belegt nun eine Untersuchung der britischen Organisation Which?. Das Ergebnis ist ebenso simpel wie erschreckend: Bei fast zwei Dritteln der getesteten Android-Geräte reicht ein banales Foto auf Papier aus, um die biometrische Hürde komplett zu nehmen. Wer also denkt, sein Gerät sei vor fremden Blicken sicher, hat im schlimmsten Fall nur eine digitale Attrappe am Start.
Von den insgesamt 208 Modellen, die seit 2022 im Labor landeten, fielen 133 krachend durch den Test. Das sind rund 65 Prozent aller untersuchten Smartphones. Die Liste der betroffenen Hersteller liest sich dabei wie ein Querschnitt durch die aktuelle Technikwelt. Ob das neue Fairphone 6, das Honor Magic6 Lite oder diverse Geräte von Motorola wie das Edge 60 Pro und das Razr 50 Ultra – sie alle ließen sich mit einem einfachen Schnappschuss austricksen. Auch Marken wie Nokia, Nothing und OnePlus stehen auf der Liste der Wackelkandidaten. Besonders pikant ist das beim OnePlus 13 oder dem Nothing Phone, da hier eigentlich moderne Hardware suggeriert wird.
Der Grund für das kollektive Versagen ist technischer Natur. Die meisten Hersteller verbauen für den Selfiespaß einfache Kameras, die lediglich ein flaches 2D-Bild analysieren. Diese Software vergleicht nur Abstände zwischen Augen oder Nase, kann aber keine räumliche Tiefe wahrnehmen. Für die Linse macht es keinen Unterschied, ob ein echter Mensch oder ein bedrucktes Blatt Papier vor ihr steht. Wirkliche Sicherheit garantieren eigentlich nur Systeme, die das Gesicht dreidimensional erfassen, wie Apples Face ID oder die neueren Pixel-Modelle ab dem Pixel 8. Auch Samsung bekommt das bei der aktuellen S-Klasse ordentlich hin.
Richtig ärgerlich wird es bei der Kommunikation der Hersteller. Sicherheitsrelevante Warnungen landen oft im Kleingedruckten oder tief in den Menüs, statt den Nutzer beim Einrichten direkt mit der Nase darauf zu stoßen. Motorola etwa argumentiert, die Gesichtserkennung sei lediglich eine Komfortfunktion. Das Problem dabei: Wer einmal drin ist, hat oft freien Lauf. Wenn ein Angreifer das Gerät erst einmal entsperrt hat, sind nicht nur private Chats in Gefahr. Über die Passwort-Manager oder die E-Mail-Konten lässt sich der Zugriff auf Bankdaten oder Bezahldienste wie Google Wallet oft in wenigen Minuten erzwingen.
Das Bundesamt für Sicherheit in der Informationstechnik sieht das ähnlich kritisch und warnt vor der Leichtgläubigkeit gegenüber einfachen Kamerahürden. Wenn ihr also eines der genannten Modelle nutzt oder euch nicht sicher seid, ob euer Gerät echte 3D-Sensoren besitzt, schaltet die Gesichtserkennung am besten sofort ab. Der Fingerabdrucksensor bleibt bei Android die deutlich klügere Wahl. Er ist zwar minimal weniger bequem als der flüchtige Blick, hält aber neugierige Finder oder Diebe zuverlässig draußen. Wer gar keinen Biometrie-Sensor nutzen will, sollte wenigstens auf eine sechsstellige PIN setzen, die sich nicht im Vorbeigehen über die Schulter erspähen lässt. Am Ende wiegt der Schutz der digitalen Identität schwerer als die gesparte Sekunde beim Entsperren.
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
