Pixel 4: Gesichtserkennung mit verschlossenen Augen – die Sicherheitslücke, die gar keine ist (Kommentar)
Vor wenigen Tagen hat Google die Pixel 4-Smartphones vorgestellt, die mit einigen Neuerungen aufwarten können, aber auch über eine solide Ausstattung verfügen und sich bis auf wenige Ausnahmen nicht vor der Konkurrenz verstecken müssen. Es gibt aber eine Schwachstelle, die derzeit für so viele Diskussionen sorgt, dass sie an dieser Stelle noch einmal angesprochen werden soll: Die Gesichtserkennung mit verschlossenen Augen.
Smartphones haben den Nutzern im Laufe der Jahre sehr viele Möglichkeiten zur Entsperrung des Geräts gegeben, einige davon sind populär und etabliert und wieder andere sind auch wieder verschwunden. Der Klassiker aus den Handyzeiten ist der gute alte PIN, gefolgt von einer Passwortangabe, später den Mustern, Bildvervollständigungen, Fingerabdrucksensoren, Gesichtserkennung, Iris-Scanner und so weiter. Generell galt stets: Je komfortabler, desto unsicherer. Das ist bei der Gesichtserkennung ein bisschen anders.
Die Pixel 4 Gesichtserkennung funktioniert mit geschlossenen Augen – das hat nicht nur viele Nutzer überrascht, sondern auch gleich eine Welle von Meldungen losgetreten, die das als Sicherheitslücke sehen. Im verlinkten Artikel seht ihr ein Beispielvideo und einige Statements, die auf Empörung ausgelegt sind, die man bei Betrachtung von der anderen Seite aber kaum nachvollziehen kann.
Die große Frage ist doch, warum ist es eine Sicherheitslücke, wenn die Augen geschlossen sind? Spontan fallen mir vier Situationen ein, in denen die Augen des Nutzers geschlossen sind und die auch allesamt jeweils als Auslöser der Sicherheitslücke bereits beschrieben wurden. Befassen wir uns kurz mit diesen Situationen.
- Der Besitzer schläft: Wie viele nicht vertrauenswürdige Menschen dringen Nachts in das Schlafzimmer ein?
- Der Besitzer schließt die Augen absichtlich: Er wird wohl dazu gezwungen, das Smartphone zu entsperren. Genauso kann man ihn zwingen, den Fingerabdrucksensor zu nutzen oder den PIN zu verraten
- Der Besitzer blinzelt: Genau dafür ist die Funktion wohl auch ausgelegt, um in Sekundenbruchteilen reagieren und das Smartphone entsperren zu können
- Der Besitzer ist tot: Dann haben wir andere Probleme als ein sicheres Smartphone bzw. es kann sinnvoll sein, dass das Smartphone noch einmal von der Familie / Einsatzkräften entsperrt werden kann
Ich glaube es wird schon deutlich, worauf dieser Artikel hinauslaufen soll.
Das ist keine Sicherheitslücke, sondern ein Feature
Google hat sehr lange an dieser Gesichtserkennung gearbeitet und diese mit vielen Technologien und unzähligen Testgesichtern trainiert. Außerdem besitzen die Pixel 4-Smartphones eine ganze Reihe von Sensoren über dem Display, die vor allem von der Gesichtserkennung genutzt werden. Das Gesicht des Nutzers soll sich von allen Winkeln und Seiten erkennen lassen, sodass kein direkter Blick auf das Display mehr notwendig ist. In einem ungünstigen Winkel könnte das Smartphone also gar nicht erkennen, ob die Augen offen oder geschlossen sind.
Dass das alles sehr schnell und einfach geht – und eben auch mit verschlossenen Augen – wird beim Google-Support erwähnt und auch bei der ersten Einrichtung des Smartphones wird darauf hingewiesen:
- Es kann vorkommen, dass Sie das Smartphone unabsichtlich entsperren, wenn Sie darauf blicken.
- Ein Smartphone mit Face Unlock kann eventuell auch von jemandem entsperrt werden, der dem Eigentümer sehr ähnlich sieht, beispielsweise einem eineiigen Zwilling.
- Eine andere Person kann Ihr Smartphone dadurch entsperren, dass sie es vor Ihr Gesicht hält, selbst wenn Ihre Augen geschlossen sind. Bewahren Sie Ihr Smartphone an einem sicheren Ort auf, z. B. in der Brusttasche oder Ihrer Handtasche. Sie können Ihr Smartphone vor unbefugtem Zugriff schützen, indem Sie die Sperrfunktion aktivieren.
Erkennung von geöffneten Augen war vorhanden
Aus früheren Leaks geht hervor, dass es eine Funktion gab – und vielleicht auch bald wieder geben wird – mit der sich das Smartphone nur mit geöffneten Augen entsperren lässt. Vermutlich wird Google diese Funktion schon bald wieder zurückbringen bzw. überhaupt ausrollen, weil die Diskussion sonst zu viele negative Angriffsfläche für die Pixel 4-Smartphones bietet. Dass die Argumentation dabei teilweise an den Haaren herbeizogen ist, spielt dabei dann gar keine Rolle mehr.
Die Frage ist natürlich, wie geöffnete Augen die obigen Szenarien verbessern können. Wie im Support bereits beschrieben ist, geht die Entsperrung blitzschnell. Lasst ihr also das Smartphone vor euch liegen, kann es eine fremde Person vor euer Gesicht halten und schon ist es entsperrt – noch bevor ihr die Situation überhaupt realisiert habt und eventuell die Augen schließt. Wer bei einem vermeintlichen Smartphone-Klau überhaupt aus Sicherheitsgründen die Augen verschließen würde, ist dann schon wieder das nächste Thema.
https://www.youtube.com/watch?v=KnRbXWojW7c
Dann nutzt es doch einfach nicht!
Kommen wir zum wichtigsten Punkt: Die „Sicherheitslücke“ kann nur ausgenutzt werden, wenn der Nutzer die Gesichtserkennung überhaupt erst eingerichtet hat. Wer also mit nicht-vertrauenswürdigen Personen in einem Raum schläft, wird vielleicht lieber keine Gesichtserkennung benutzen. Der Fingerabdrucksensor ist beim Pixel 4 nicht mehr an Bord, aber weitere Methoden vom PIN über das Muster bis zum Passwort stehen zur Verfügung.
Wer also die Sorge hat, von diesem Problem betroffen zu sein, richtet die Erkennung einfach gar nicht erst ein. Es ist eine Komfortfunktion, zu der niemand gezwungen wird. Auch der Fingerabdrucksensor lässt sich bekanntlich bis heute bei den meisten Smartphones mit etwas Aufwand überlisten. Wie bereits eingangs erwähnt, je komfortabler, desto unsicherer. Die vermeintlich absolute Sicherheit bietet das lange Passwort, das man dann eben 150x am Tag eingeben muss.
Persönlich sehe ich dieses Feature, das auf die Augen einfach verzichten kann, einfach als Fortschritt an, den nach einiger Zeit niemand mehr missen wollen wird. Natürlich, Google hätte die Funktion zur optionalen Augen-Kontrolle von Beginn an ausliefern sollen, aber dass das nun in der Form eine riesige Sicherheitslücke ist die diese Generation der Pixel-Smartphones vermutlich so sehr prägen wird wie die Display-Probleme der zweiten Generation und die Notch der dritten Generation, ist dann doch übertrieben.
» Pixel 4: Angebliche Sicherheitslücke in der neuen Gesichtserkennung sorgt für Diskussionen (Video)
» Smart Home: Googles Hardware-Chef warnt seine Gäste vor den ständig lauschenden Smart Speakern
Pixel 4: Google wirbt mit Stephen Hawking für die neue Astrofotografie – sehenswerter Werbespot (Video)
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Richtig. Das eigentliche Problem der Pixel 4, (nicht Pixel4 XL) wird der kleine Akku, das wird zum Problem für Google. Und in diesem Fall helfen auch keine Updates. Auch wenn so etwas kommt wie „Akkuoptimierung“, schon klar, der kleine Akku wird zum Problem.
Hm.. Ist es dann auch eine Sicherheitslücke, dass der Fingerprint funktioniert während ich schlafe? Könnte ja auch jemand ausnutzen..
Es ist ein Sicherheitsproblem.
>> Der Besitzer schläft: Wie viele nicht vertrauenswürdige Menschen dringen Nachts in das Schlafzimmer ein?
Meine Frau, meine Kinder. Nicht das ich ihnen nicht vertraue, aber meine Kinder könnten Youtube/Netflix etc nutzen, während ich mal eben 10min auf dem Sofa penne.
Außerdem habe ich ein Arbeitsprofil auf dem Telefon, dessen Daten niemanden außer mir etwas angehen. Auch nicht meine Frau. Unter anderem weil ich Vertraglich zugesichert habe, das ich die Daten keinem anderen zugänglich mache.
Und: Schon mal in das private Tagebuch der Frau geguckt? Wie war die Reaktion? Heilt das Veilchen schon oder vertraut sie euch etwa nicht?
>> Der Besitzer schließt die Augen absichtlich: Er wird wohl dazu gezwungen, das Smartphone zu entsperren. Genauso kann man ihn zwingen, den Fingerabdrucksensor zu nutzen oder den PIN zu verraten
PINs und Passwörter kann man bei Einreisen in andere Länder verweigern. Fingerabdruck in den meißten Fällen auch. Faceunlock wurde noch nicht Gerichtlich beleuchtet.
Der Punkt zieht einzig und allein bei Zwang durch körperliche Gewalt. Und selbst da habe ich mit einem Passwort immer noch bessere Chancen…
>> Der Besitzer blinzelt: Genau dafür ist die Funktion wohl auch ausgelegt, um in Sekundenbruchteilen reagieren und das Smartphone entsperren zu können
Und da man ja immer blinzelt wenn man das Telefon entsperren möchte, ist man natürlich durch die 300 Millisekunden massiv gebremst…
>> Der Besitzer ist tot: Dann haben wir andere Probleme als ein sicheres Smartphone bzw. es kann sinnvoll sein, dass das Smartphone noch einmal von der Familie / Einsatzkräften entsperrt werden kann
Was vorher auch nicht ging. Google hat eine Totmann-Einstellung an den Accounts für genau solche Fälle.
Die genannten Gründe sind genau so leicht zu entkräften wie sie aufgestellt wurden.
Ich war seit Monaten nicht mehr hier im Blog, lese dann
Das ist keine Sicherheitslücke, sondern ein Feature
Und kann wieder gehen. So eine schwachsinnige und verblendete Sichtweise ist völlig verrückt
Und der Besitzer schläft immer nur daheim in seinem gut geschützten Schlafzimmer. Keine Millionen Menschen pendeln täglich per Zug und Bus zur Arbeitsstelle und Schule. Schon mal der Klassenprügelknabe gewesen, dem man alles antut, was man kann? Handy entsperren während ein Schüler im Bus schläft, und schon hat man viel „Spaß“, der dem Mobbing Opfer das Leben versauen kann, durch Facebook Posts, Telefonanrufe, Aufrufe von Webseiten mit strafbarem Inhalt, Viren und Trojanern, etc.pp.
„Oh ja, dann sollen sie es halt nicht nutzen!“ Klar und auf den Komfort verzichten. Meinen Finger drückt niemand auf den Scanner, ohne dass ich aufwache, aber Hoppla! Den hat das Gerät ja gar nicht mehr! Na, dann muss man halt eine PIN vergeben und bei jeder Benutzung die PIN eingeben. „Selber Schuld, wenn man so paranoid ist“ was?
Ihr seid wirklich die allerletzten Fanboys geworden. So eine tendenziöse Berichterstattung erwarte ich vielleicht von der BILD Zeitung oder ähnlichem Verdummungsdreck. Das hier ist einfach nur plumpe Werbung und peinliches Kleinreden eines wichtigen Nachteils, dessen sich jeder voll bewusst sein muss, der so ein Gerät verwendet.
Hey
Wish for in order to find a meeting social networking Influencer so as to promote your service and send more clients so as to your pages?
You’ll have total easy access in order to the database, the alternative to get in touch with and negociate with social influencer, moreover you’ll be able to inspect every one influencer’s correct involvement stats so you never burn up your chance as well as your cash.
All set to open our permanent alliance?
Figure out even more: https://alina.influencershoutout.site/40062ydrucaM
Our experts expect dealing with your shop!
Kind regards,
Carmon, Trevizo
to abandon: //alina.influencershoutout.site/off/33ddoc
Hi there.
Intend to experience a suitable social media influencer that one may boost your service moreover direct even more site visitors to your websites?
Our social media influencer web can certainly link your shop together with over and above 76k social media influencers with dozens of specific niches. Apply our outstanding search filters moreover progressed analytics devices in order to hire the perfect influencers for your projects.
All set to begin our extended joint venture?
https://fami.influenceme.xyz/o/WqbL2sq7
I eagerly anticipate teaming up with your business!
Sent out from mobile phone, all mistake self inflicted.
to revoke here: fami.influenceme.xyz/link/u/py3n
My name is Tench. I’m the manager of social influencer Bikershift
I’m reaching out because I assume this influencer is an outstanding suitable for your brand. By hiring the influencer for a sponsored article, they can dramatically enhance your variety of followers and also interaction on Instagram. Hence, aiding you attract much more customers as well as broaden your business.
Discover more below: bikershift.epizy.com
Yours sincerely,
Tench
* Brevity and mistakes aided and abetted by my precious apple iphone *.