GoogleWatchBlog

Pixel 4: Gesichtserkennung mit verschlossenen Augen – die Sicherheitslücke, die gar keine ist (Kommentar)

» Web-Version «

Vor wenigen Tagen hat Google die Pixel 4-Smartphones vorgestellt, die mit einigen Neuerungen aufwarten können, aber auch über eine solide Ausstattung verfügen und sich bis auf wenige Ausnahmen nicht vor der Konkurrenz verstecken müssen. Es gibt aber eine Schwachstelle, die derzeit für so viele Diskussionen sorgt, dass sie an dieser Stelle noch einmal angesprochen werden soll: Die Gesichtserkennung mit verschlossenen Augen.


Smartphones haben den Nutzern im Laufe der Jahre sehr viele Möglichkeiten zur Entsperrung des Geräts gegeben, einige davon sind populär und etabliert und wieder andere sind auch wieder verschwunden. Der Klassiker aus den Handyzeiten ist der gute alte PIN, gefolgt von einer Passwortangabe, später den Mustern, Bildvervollständigungen, Fingerabdrucksensoren, Gesichtserkennung, Iris-Scanner und so weiter. Generell galt stets: Je komfortabler, desto unsicherer. Das ist bei der Gesichtserkennung ein bisschen anders.

Die Pixel 4 Gesichtserkennung funktioniert mit geschlossenen Augen – das hat nicht nur viele Nutzer überrascht, sondern auch gleich eine Welle von Meldungen losgetreten, die das als Sicherheitslücke sehen. Im verlinkten Artikel seht ihr ein Beispielvideo und einige Statements, die auf Empörung ausgelegt sind, die man bei Betrachtung von der anderen Seite aber kaum nachvollziehen kann.

Die große Frage ist doch, warum ist es eine Sicherheitslücke, wenn die Augen geschlossen sind? Spontan fallen mir vier Situationen ein, in denen die Augen des Nutzers geschlossen sind und die auch allesamt jeweils als Auslöser der Sicherheitslücke bereits beschrieben wurden. Befassen wir uns kurz mit diesen Situationen.

  • Der Besitzer schläft: Wie viele nicht vertrauenswürdige Menschen dringen Nachts in das Schlafzimmer ein?
  • Der Besitzer schließt die Augen absichtlich: Er wird wohl dazu gezwungen, das Smartphone zu entsperren. Genauso kann man ihn zwingen, den Fingerabdrucksensor zu nutzen oder den PIN zu verraten
  • Der Besitzer blinzelt: Genau dafür ist die Funktion wohl auch ausgelegt, um in Sekundenbruchteilen reagieren und das Smartphone entsperren zu können
  • Der Besitzer ist tot: Dann haben wir andere Probleme als ein sicheres Smartphone bzw. es kann sinnvoll sein, dass das Smartphone noch einmal von der Familie / Einsatzkräften entsperrt werden kann

Ich glaube es wird schon deutlich, worauf dieser Artikel hinauslaufen soll.



Das ist keine Sicherheitslücke, sondern ein Feature
Google hat sehr lange an dieser Gesichtserkennung gearbeitet und diese mit vielen Technologien und unzähligen Testgesichtern trainiert. Außerdem besitzen die Pixel 4-Smartphones eine ganze Reihe von Sensoren über dem Display, die vor allem von der Gesichtserkennung genutzt werden. Das Gesicht des Nutzers soll sich von allen Winkeln und Seiten erkennen lassen, sodass kein direkter Blick auf das Display mehr notwendig ist. In einem ungünstigen Winkel könnte das Smartphone also gar nicht erkennen, ob die Augen offen oder geschlossen sind.

Dass das alles sehr schnell und einfach geht – und eben auch mit verschlossenen Augen – wird beim Google-Support erwähnt und auch bei der ersten Einrichtung des Smartphones wird darauf hingewiesen:

  • Es kann vorkommen, dass Sie das Smartphone unabsichtlich entsperren, wenn Sie darauf blicken.
  • Ein Smartphone mit Face Unlock kann eventuell auch von jemandem entsperrt werden, der dem Eigentümer sehr ähnlich sieht, beispielsweise einem eineiigen Zwilling.
  • Eine andere Person kann Ihr Smartphone dadurch entsperren, dass sie es vor Ihr Gesicht hält, selbst wenn Ihre Augen geschlossen sind. Bewahren Sie Ihr Smartphone an einem sicheren Ort auf, z. B. in der Brusttasche oder Ihrer Handtasche. Sie können Ihr Smartphone vor unbefugtem Zugriff schützen, indem Sie die Sperrfunktion aktivieren.

Erkennung von geöffneten Augen war vorhanden
Aus früheren Leaks geht hervor, dass es eine Funktion gab – und vielleicht auch bald wieder geben wird – mit der sich das Smartphone nur mit geöffneten Augen entsperren lässt. Vermutlich wird Google diese Funktion schon bald wieder zurückbringen bzw. überhaupt ausrollen, weil die Diskussion sonst zu viele negative Angriffsfläche für die Pixel 4-Smartphones bietet. Dass die Argumentation dabei teilweise an den Haaren herbeizogen ist, spielt dabei dann gar keine Rolle mehr.

Die Frage ist natürlich, wie geöffnete Augen die obigen Szenarien verbessern können. Wie im Support bereits beschrieben ist, geht die Entsperrung blitzschnell. Lasst ihr also das Smartphone vor euch liegen, kann es eine fremde Person vor euer Gesicht halten und schon ist es entsperrt – noch bevor ihr die Situation überhaupt realisiert habt und eventuell die Augen schließt. Wer bei einem vermeintlichen Smartphone-Klau überhaupt aus Sicherheitsgründen die Augen verschließen würde, ist dann schon wieder das nächste Thema.



https://www.youtube.com/watch?v=KnRbXWojW7c

Dann nutzt es doch einfach nicht!
Kommen wir zum wichtigsten Punkt: Die „Sicherheitslücke“ kann nur ausgenutzt werden, wenn der Nutzer die Gesichtserkennung überhaupt erst eingerichtet hat. Wer also mit nicht-vertrauenswürdigen Personen in einem Raum schläft, wird vielleicht lieber keine Gesichtserkennung benutzen. Der Fingerabdrucksensor ist beim Pixel 4 nicht mehr an Bord, aber weitere Methoden vom PIN über das Muster bis zum Passwort stehen zur Verfügung.

Wer also die Sorge hat, von diesem Problem betroffen zu sein, richtet die Erkennung einfach gar nicht erst ein. Es ist eine Komfortfunktion, zu der niemand gezwungen wird. Auch der Fingerabdrucksensor lässt sich bekanntlich bis heute bei den meisten Smartphones mit etwas Aufwand überlisten. Wie bereits eingangs erwähnt, je komfortabler, desto unsicherer. Die vermeintlich absolute Sicherheit bietet das lange Passwort, das man dann eben 150x am Tag eingeben muss.

Persönlich sehe ich dieses Feature, das auf die Augen einfach verzichten kann, einfach als Fortschritt an, den nach einiger Zeit niemand mehr missen wollen wird. Natürlich, Google hätte die Funktion zur optionalen Augen-Kontrolle von Beginn an ausliefern sollen, aber dass das nun in der Form eine riesige Sicherheitslücke ist die diese Generation der Pixel-Smartphones vermutlich so sehr prägen wird wie die Display-Probleme der zweiten Generation und die Notch der dritten Generation, ist dann doch übertrieben.

» Pixel 4: Angebliche Sicherheitslücke in der neuen Gesichtserkennung sorgt für Diskussionen (Video)

» Smart Home: Googles Hardware-Chef warnt seine Gäste vor den ständig lauschenden Smart Speakern

Pixel 4: Google wirbt mit Stephen Hawking für die neue Astrofotografie – sehenswerter Werbespot (Video)


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren