Pixel 4: Gesichtserkennung mit verschlossenen Augen – die Sicherheitslücke, die gar keine ist (Kommentar)

pixel 

Vor wenigen Tagen hat Google die Pixel 4-Smartphones vorgestellt, die mit einigen Neuerungen aufwarten können, aber auch über eine solide Ausstattung verfügen und sich bis auf wenige Ausnahmen nicht vor der Konkurrenz verstecken müssen. Es gibt aber eine Schwachstelle, die derzeit für so viele Diskussionen sorgt, dass sie an dieser Stelle noch einmal angesprochen werden soll: Die Gesichtserkennung mit verschlossenen Augen.


Smartphones haben den Nutzern im Laufe der Jahre sehr viele Möglichkeiten zur Entsperrung des Geräts gegeben, einige davon sind populär und etabliert und wieder andere sind auch wieder verschwunden. Der Klassiker aus den Handyzeiten ist der gute alte PIN, gefolgt von einer Passwortangabe, später den Mustern, Bildvervollständigungen, Fingerabdrucksensoren, Gesichtserkennung, Iris-Scanner und so weiter. Generell galt stets: Je komfortabler, desto unsicherer. Das ist bei der Gesichtserkennung ein bisschen anders.

pixel 4 press orange

Die Pixel 4 Gesichtserkennung funktioniert mit geschlossenen Augen – das hat nicht nur viele Nutzer überrascht, sondern auch gleich eine Welle von Meldungen losgetreten, die das als Sicherheitslücke sehen. Im verlinkten Artikel seht ihr ein Beispielvideo und einige Statements, die auf Empörung ausgelegt sind, die man bei Betrachtung von der anderen Seite aber kaum nachvollziehen kann.

Die große Frage ist doch, warum ist es eine Sicherheitslücke, wenn die Augen geschlossen sind? Spontan fallen mir vier Situationen ein, in denen die Augen des Nutzers geschlossen sind und die auch allesamt jeweils als Auslöser der Sicherheitslücke bereits beschrieben wurden. Befassen wir uns kurz mit diesen Situationen.

  • Der Besitzer schläft: Wie viele nicht vertrauenswürdige Menschen dringen Nachts in das Schlafzimmer ein?
  • Der Besitzer schließt die Augen absichtlich: Er wird wohl dazu gezwungen, das Smartphone zu entsperren. Genauso kann man ihn zwingen, den Fingerabdrucksensor zu nutzen oder den PIN zu verraten
  • Der Besitzer blinzelt: Genau dafür ist die Funktion wohl auch ausgelegt, um in Sekundenbruchteilen reagieren und das Smartphone entsperren zu können
  • Der Besitzer ist tot: Dann haben wir andere Probleme als ein sicheres Smartphone bzw. es kann sinnvoll sein, dass das Smartphone noch einmal von der Familie / Einsatzkräften entsperrt werden kann

Ich glaube es wird schon deutlich, worauf dieser Artikel hinauslaufen soll.



google pixel 4 gesichtserkennung

Das ist keine Sicherheitslücke, sondern ein Feature
Google hat sehr lange an dieser Gesichtserkennung gearbeitet und diese mit vielen Technologien und unzähligen Testgesichtern trainiert. Außerdem besitzen die Pixel 4-Smartphones eine ganze Reihe von Sensoren über dem Display, die vor allem von der Gesichtserkennung genutzt werden. Das Gesicht des Nutzers soll sich von allen Winkeln und Seiten erkennen lassen, sodass kein direkter Blick auf das Display mehr notwendig ist. In einem ungünstigen Winkel könnte das Smartphone also gar nicht erkennen, ob die Augen offen oder geschlossen sind.

Dass das alles sehr schnell und einfach geht – und eben auch mit verschlossenen Augen – wird beim Google-Support erwähnt und auch bei der ersten Einrichtung des Smartphones wird darauf hingewiesen:

  • Es kann vorkommen, dass Sie das Smartphone unabsichtlich entsperren, wenn Sie darauf blicken.
  • Ein Smartphone mit Face Unlock kann eventuell auch von jemandem entsperrt werden, der dem Eigentümer sehr ähnlich sieht, beispielsweise einem eineiigen Zwilling.
  • Eine andere Person kann Ihr Smartphone dadurch entsperren, dass sie es vor Ihr Gesicht hält, selbst wenn Ihre Augen geschlossen sind. Bewahren Sie Ihr Smartphone an einem sicheren Ort auf, z. B. in der Brusttasche oder Ihrer Handtasche. Sie können Ihr Smartphone vor unbefugtem Zugriff schützen, indem Sie die Sperrfunktion aktivieren.

Erkennung von geöffneten Augen war vorhanden
Aus früheren Leaks geht hervor, dass es eine Funktion gab – und vielleicht auch bald wieder geben wird – mit der sich das Smartphone nur mit geöffneten Augen entsperren lässt. Vermutlich wird Google diese Funktion schon bald wieder zurückbringen bzw. überhaupt ausrollen, weil die Diskussion sonst zu viele negative Angriffsfläche für die Pixel 4-Smartphones bietet. Dass die Argumentation dabei teilweise an den Haaren herbeizogen ist, spielt dabei dann gar keine Rolle mehr.

Die Frage ist natürlich, wie geöffnete Augen die obigen Szenarien verbessern können. Wie im Support bereits beschrieben ist, geht die Entsperrung blitzschnell. Lasst ihr also das Smartphone vor euch liegen, kann es eine fremde Person vor euer Gesicht halten und schon ist es entsperrt – noch bevor ihr die Situation überhaupt realisiert habt und eventuell die Augen schließt. Wer bei einem vermeintlichen Smartphone-Klau überhaupt aus Sicherheitsgründen die Augen verschließen würde, ist dann schon wieder das nächste Thema.



Dann nutzt es doch einfach nicht!
Kommen wir zum wichtigsten Punkt: Die „Sicherheitslücke“ kann nur ausgenutzt werden, wenn der Nutzer die Gesichtserkennung überhaupt erst eingerichtet hat. Wer also mit nicht-vertrauenswürdigen Personen in einem Raum schläft, wird vielleicht lieber keine Gesichtserkennung benutzen. Der Fingerabdrucksensor ist beim Pixel 4 nicht mehr an Bord, aber weitere Methoden vom PIN über das Muster bis zum Passwort stehen zur Verfügung.

Wer also die Sorge hat, von diesem Problem betroffen zu sein, richtet die Erkennung einfach gar nicht erst ein. Es ist eine Komfortfunktion, zu der niemand gezwungen wird. Auch der Fingerabdrucksensor lässt sich bekanntlich bis heute bei den meisten Smartphones mit etwas Aufwand überlisten. Wie bereits eingangs erwähnt, je komfortabler, desto unsicherer. Die vermeintlich absolute Sicherheit bietet das lange Passwort, das man dann eben 150x am Tag eingeben muss.

Persönlich sehe ich dieses Feature, das auf die Augen einfach verzichten kann, einfach als Fortschritt an, den nach einiger Zeit niemand mehr missen wollen wird. Natürlich, Google hätte die Funktion zur optionalen Augen-Kontrolle von Beginn an ausliefern sollen, aber dass das nun in der Form eine riesige Sicherheitslücke ist die diese Generation der Pixel-Smartphones vermutlich so sehr prägen wird wie die Display-Probleme der zweiten Generation und die Notch der dritten Generation, ist dann doch übertrieben.

» Pixel 4: Angebliche Sicherheitslücke in der neuen Gesichtserkennung sorgt für Diskussionen (Video)

» Smart Home: Googles Hardware-Chef warnt seine Gäste vor den ständig lauschenden Smart Speakern

Pixel 4: Google wirbt mit Stephen Hawking für die neue Astrofotografie – sehenswerter Werbespot (Video)


Keine Google-News mehr verpassen: Abonniere den GoogleWatchBlog-Newsletter
GoogleWatchBlog Newsletter abonnieren


Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 5 Kommentare zum Thema "Pixel 4: Gesichtserkennung mit verschlossenen Augen – die Sicherheitslücke, die gar keine ist (Kommentar)"

  • Richtig. Das eigentliche Problem der Pixel 4, (nicht Pixel4 XL) wird der kleine Akku, das wird zum Problem für Google. Und in diesem Fall helfen auch keine Updates. Auch wenn so etwas kommt wie „Akkuoptimierung“, schon klar, der kleine Akku wird zum Problem.

  • Es ist ein Sicherheitsproblem.

    >> Der Besitzer schläft: Wie viele nicht vertrauenswürdige Menschen dringen Nachts in das Schlafzimmer ein?

    Meine Frau, meine Kinder. Nicht das ich ihnen nicht vertraue, aber meine Kinder könnten Youtube/Netflix etc nutzen, während ich mal eben 10min auf dem Sofa penne.
    Außerdem habe ich ein Arbeitsprofil auf dem Telefon, dessen Daten niemanden außer mir etwas angehen. Auch nicht meine Frau. Unter anderem weil ich Vertraglich zugesichert habe, das ich die Daten keinem anderen zugänglich mache.
    Und: Schon mal in das private Tagebuch der Frau geguckt? Wie war die Reaktion? Heilt das Veilchen schon oder vertraut sie euch etwa nicht?

    >> Der Besitzer schließt die Augen absichtlich: Er wird wohl dazu gezwungen, das Smartphone zu entsperren. Genauso kann man ihn zwingen, den Fingerabdrucksensor zu nutzen oder den PIN zu verraten

    PINs und Passwörter kann man bei Einreisen in andere Länder verweigern. Fingerabdruck in den meißten Fällen auch. Faceunlock wurde noch nicht Gerichtlich beleuchtet.
    Der Punkt zieht einzig und allein bei Zwang durch körperliche Gewalt. Und selbst da habe ich mit einem Passwort immer noch bessere Chancen…

    >> Der Besitzer blinzelt: Genau dafür ist die Funktion wohl auch ausgelegt, um in Sekundenbruchteilen reagieren und das Smartphone entsperren zu können

    Und da man ja immer blinzelt wenn man das Telefon entsperren möchte, ist man natürlich durch die 300 Millisekunden massiv gebremst…

    >> Der Besitzer ist tot: Dann haben wir andere Probleme als ein sicheres Smartphone bzw. es kann sinnvoll sein, dass das Smartphone noch einmal von der Familie / Einsatzkräften entsperrt werden kann

    Was vorher auch nicht ging. Google hat eine Totmann-Einstellung an den Accounts für genau solche Fälle.

    Die genannten Gründe sind genau so leicht zu entkräften wie sie aufgestellt wurden.

  • Ich war seit Monaten nicht mehr hier im Blog, lese dann

    Das ist keine Sicherheitslücke, sondern ein Feature

    Und kann wieder gehen. So eine schwachsinnige und verblendete Sichtweise ist völlig verrückt

  • Und der Besitzer schläft immer nur daheim in seinem gut geschützten Schlafzimmer. Keine Millionen Menschen pendeln täglich per Zug und Bus zur Arbeitsstelle und Schule. Schon mal der Klassenprügelknabe gewesen, dem man alles antut, was man kann? Handy entsperren während ein Schüler im Bus schläft, und schon hat man viel „Spaß“, der dem Mobbing Opfer das Leben versauen kann, durch Facebook Posts, Telefonanrufe, Aufrufe von Webseiten mit strafbarem Inhalt, Viren und Trojanern, etc.pp.

    „Oh ja, dann sollen sie es halt nicht nutzen!“ Klar und auf den Komfort verzichten. Meinen Finger drückt niemand auf den Scanner, ohne dass ich aufwache, aber Hoppla! Den hat das Gerät ja gar nicht mehr! Na, dann muss man halt eine PIN vergeben und bei jeder Benutzung die PIN eingeben. „Selber Schuld, wenn man so paranoid ist“ was?

    Ihr seid wirklich die allerletzten Fanboys geworden. So eine tendenziöse Berichterstattung erwarte ich vielleicht von der BILD Zeitung oder ähnlichem Verdummungsdreck. Das hier ist einfach nur plumpe Werbung und peinliches Kleinreden eines wichtigen Nachteils, dessen sich jeder voll bewusst sein muss, der so ein Gerät verwendet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.