Technologie

Warum ist die Gesichtserkennung auf dem Galaxy A30 nicht sicher?

Antwort.net

Gestern

Antwort.net

Melden

Einführung: Grundproblem der biometrischen Authentifizierung mit Fotos
Technische Beschränkungen: Kamera und Sensorik
Algorithmen und Sicherheitsstufen
Praktische Angriffe: Fotos, Videos und Nachbildungen
Konsequenzen für sensible Anwendungen
Fazit: Convenience versus Sicherheit

Einführung: Grundproblem der biometrischen Authentifizierung mit Fotos

Die Gesichtserkennung des Galaxy A30 (und ähnlicher Mittelklasse-Smartphones) nutzt in der Regel nur die Frontkamera und einfache Software, um ein auf dem Bildschirm oder mit einer Fotoaufnahme dargestelltes Gesicht zu analysieren. Diese Methode überprüft nicht tiefere, schwer zu fälschende Merkmale wie die Struktur des Gesichts oder die Tiefe, sondern vergleicht vorrangig zwei-dimensionale Merkmalsmuster. Dadurch ist das System anfällig für einfache Täuschungen wie Fotos oder Videos und erfüllt nicht die höheren Sicherheitsanforderungen, die fortgeschrittene 3D-/Infrarot-Systeme bieten.

Technische Beschränkungen: Kamera und Sensorik

Das Galaxy A30 besitzt keine spezielle Tiefe- oder Infrarotsensorik (wie ein TOF-Sensor oder ein IR-Projektor), die echte dreidimensionale Gesichtsgeometrie messen könnte. Stattdessen nutzt es nur die normale Selfie-Kamera mit sichtbarem Licht, die keine Informationen zur Oberflächenform oder Entfernung liefert. Ohne diese zusätzlichen Sensorsignale ist die Unterscheidung zwischen einem echten Gesicht und einer flachen Darstellung (Foto, Bildschirm) schwierig bis unmöglich.

Algorithmen und Sicherheitsstufen

Die eingesetzten Algorithmen sind auf niedrige Latenz und geringere Rechenlast ausgelegt, nicht auf robuste Angriffserkennung. Sie tolerieren stärker Varianzen in Beleuchtung, Gesichtsausdruck oder Blickrichtung, um Benutzerfreundlichkeit zu gewährleisten. Diese Toleranzen können zugleich falsche Akzeptanzen begünstigen. Außerdem fehlt häufig eine zertifizierte Sicherheitsbewertung (z. B. nach FIDO2/WebAuthn-Stufen), die bei sicherheitskritischen biometrischen Verfahren Hinweise auf die Stärke gegen Angriffsszenarien gibt.

Praktische Angriffe: Fotos, Videos und Nachbildungen

Weil die Erkennung nur 2D-Daten nutzt, reicht in vielen Fällen bereits ein hochauflösendes Foto oder ein Video des registrierten Gesichts, um das Gerät zu entsperren. Bildschirmpräsentation, Ausdrucke oder sogar Nachbildungen mit Masken können je nach Implementierung erfolgreich sein. Solche Angriffe sind einfach durchzuführen und erfordern keine besonderen Werkzeuge, weshalb der Schutz gegen unbefugtes Entsperren eingeschränkt ist.

Konsequenzen für sensible Anwendungen

Wegen dieser Schwächen wird die rein kamera-basierte Gesichtserkennung nicht als anspruchsvolle Authentifizierungsmethode eingestuft. Für sensible Daten, mobile Zahlungen oder administrative Zugriffe ist sie weniger geeignet. Android selbst und Sicherheitsrichtlinien raten bei hohen Sicherheitsanforderungen zum Einsatz von PIN, Passwort oder Fingerabdrucksensoren mit geprüfter Sicherheit, beziehungsweise zu Geräten mit hardwaregestützter, 3D-basierter Gesichtsbiometrie.

Fazit: Convenience versus Sicherheit

Die Gesichtserkennung auf dem Galaxy A30 bietet Komfort und schnelle Entsperrung im Alltag, ist aber aus technischen Gründen nicht sehr sicher. Sie ist leicht angreifbar, weil sie nur auf der normalen Frontkamera und einfachen Algorithmen beruht, keine Tiefen- oder Infrarotmessung nutzt und keine hohen Sicherheitszertifizierungen hat. Wer echte Sicherheit benötigt, sollte auf stärkere Authentifizierungsverfahren oder Geräte mit spezialisierten Biometriesensoren setzen.