Face-Unlock-Schwachstelle auf Android: Warum Fotos Smartphones täuschen
Über 60 % der getesteten Android-Smartphones sind anfällig für Face-Spoofing mit einem einfachen Foto. Die Untersuchung der Which?-Labs, die 208 Geräte umfasst, ergab, dass die meisten Budget- und Mittelklasse-Modelle 2D-Erkennungssysteme nutzen, die nicht zwischen einer lebenden Person und einem gedruckten Bild unterscheiden können. Das birgt ernsthafte Risiken für die Benutzerprivatsphäre und Datensicherheit.
Warum 2D-Gesichtserkennung so anfällig ist
Die Face-Unlock-Systeme auf den meisten Android-Geräten basieren auf der Standard-Frontkamera ohne zusätzliche Tiefensensoren. Dieser Ansatz erzeugt ein flaches Bild ohne dreidimensionale Struktur. Folglich kann der Algorithmus nicht feststellen, ob das Objekt vor der Kamera ein echtes Gesicht oder eine 2D-Kopie ist – sei es ein gedrucktes Foto, ein Bild auf dem Display eines anderen Geräts oder sogar ein Video.
Im Gegensatz dazu nutzen Lösungen wie Apple Face ID oder 3D-Scanner in Premium-Modellen von Honor und Samsung Infrarot-Projektoren und Tiefensensoren. Sie erstellen eine präzise Oberflächenkarte des Gesichts mit Tausenden von Punkten, was Spoofing ohne spezielle Ausrüstung extrem erschwert.
Bedrohungs-Trends: Vom Höchststand zu leichter Besserung
Der Höchststand der Anfälligkeit lag 2024 bei 72 % der getesteten Geräte, die photo-basierten Angriffen erlagen. Im Vergleich zu 2023 war das ein Anstieg um 35 %. Allerdings zeigt 2025 einen positiven Trend – der Anteil anfälliger Smartphones sank auf 63 %, 13 % besser als im Vorjahr.
Einige Hersteller haben begonnen, mehr Transparenz zu schaffen. Xiaomi hat beispielsweise Risikohinweise auf 26 seiner Modelle hinzugefügt, Samsung auf neun Geräte in den letzten drei Jahren. Dennoch haben andere Marken wie Motorola und OnePlus Dutzende Modelle ohne ausreichende Warnungen herausgebracht.
Hersteller und ihre Haltung zur Sicherheit
Hersteller betonen durchweg, dass 2D-Face-Unlock nur für Bequemlichkeit gedacht ist, nicht zum Schutz sensibler Vorgänge. So äußern sich die wichtigsten Player:
- Fairphone: Gibt an, biometrische Klasse 1 („Bequemlichkeit“) zu nutzen, die Android in Finanz-Apps automatisch blockiert.
- Honor: Erkennt die technischen Grenzen von 2D-Systemen an und empfiehlt Flaggschiff-Pro-Modelle mit 3D-Mapping für sicherheitskritische Aufgaben.
- Motorola: Rät, stattdessen PIN, Passwort oder Muster zu verwenden.
- OnePlus: Verweist auf die verpflichtende „Face Recognition Usage Statement“, die explizit angibt, dass die Methode weniger zuverlässig ist als Fingerabdruck oder PIN.
Anfällige Modelle
Die Studie hat Geräte identifiziert, die bei Tests zur Abwehr von Identitäts-Spoofing versagt haben. Dazu gehören:
- Fairphone 6;
- Honor Magic6 Lite 5G;
- Motorola-Reihe: Moto G75 5G, Edge 60 Pro, Edge 60 fusion, Moto G56 5G, G86, Edge 40 Neo, Moto g35, Moto g55, Razr 50 Ultra, Edge 50 Ultra, Edge 50 Pro, Moto G73;
- Nothing Phone (2a) Plus, (3a), (3a) Pro, (3), (2a);
- OnePlus 13R, 13, Nord 5, Nord CE5, 15, Nord 3 5G;
- Oppo Reno 13 F, Reno 13 Pro, Find X9 Pro, Find X9, Reno 11 F 5G.
Interessanterweise scheiterten selbst neuere Markteinsteiger wie Nothing daran, ausreichenden Schutz oder Warnhinweise auf allen getesteten Geräten bereitzustellen.
Was Nutzer tun sollten: Praktische Schutzmaßnahmen
Wenn Ihr Smartphone 2D-Face-Unlock nutzt, ergreifen Sie diese zusätzlichen Schritte:
- Deaktivieren Sie die Gesichtsentsperrung und wechseln Sie zu Fingerabdruck oder PIN.
- Legen Sie eine SIM-PIN fest, um die Nutzung in einem anderen Gerät zu verhindern.
- Aktivieren Sie „App Lock“ für kritische Dienste – Messenger, E-Mail, Galerie.
Diese Maßnahmen reduzieren das Risiko unbefugten Zugriffs erheblich, selbst wenn jemand physisch an Ihr Gerät kommt.
Wichtige Erkenntnisse
- Die meisten Mittelklasse- und Budget-Android-Smartphones nutzen 2D-Gesichtserkennung, die leicht mit einem Foto getäuscht werden kann.
- Nur 3D-Systeme mit Tiefenkartierung bieten echten Schutz vor Identitäts-Spoofing.
- Hersteller sehen Face Unlock als Bequemlichkeitsfunktion, nicht als Sicherheitsmerkmal, und schließen es oft von Finanzszenarien aus.
- Google Pixel 8–10 sind eine Ausnahme: Trotz 2D-Ansatz erfüllen sie dank fortschrittlicher ML-Modelle Bankstandards.
- Bewusstsein der Nutzer und alternative Authentifizierungsmethoden sind entscheidend, um Ihre Daten zu schützen.
— Editorial Team
Noch keine Kommentare.