Mangelhafte Sicherheit bei der Gesichtserkennung: Biometrie-Panne bei Samsungs Galaxy S8

Die vermeintlich sichere Gesichtserkennung von Samsungs neuem Smartphone-Flaggschiff Galaxy S8 lässt sich in der Praxis mit einfachsten Mitteln austricksen.

Ein Foto auf einem zweiten Smartphone reicht aus, um die Gesichtserkennung des Galaxy S8 auszutricksen
(Foto: Marcianotech)

Mit der Integration einer biometrischen Gesichtserkennungs-Lösung will Samsung den Nutzern seines neuen Smartphone-Flaggschiffs Galaxy S8 eine sichere und komfortable Möglichkeit bieten, das teure Gerät und die wertvollen Daten darauf vor unbefugten Zugriffen zu schützen. Laut Samsung soll sie weitaus zuverlässig und sicherer sein als ähnliche Systeme bei Konkurrenten wie Google, wo man explizit darauf hinweist, dass es sich bei der Gesichtserkennung um eine vergleichsweise unsichere Authentifizierungs-Methode handelt. Wie erste Tests jetzt zeigen, kann jedoch auch Samsung das Versprechen einer verbesserten Sicherheit keineswegs erfüllen. Mehrere Technik- und Sicherheitsexperten wie der Vlogger Marcianotech, haben im Internet bereits vorgeführt, wie leicht sich das System austricksen lässt. So erkennt das Galaxy S8 in diesen Versuchen auch vorgehaltene Fotos der Besitzer meist an und entsperrt sich. Selbst wenn das entsprechende Bild auf einem anderen Smartphone vor die Linse auf der Vorderseite des neuen Samsung-Geräts gehalten wird, klappt die Entsperrung meist problemlos.

Sicherheitsexperten warnen bereits seit längerem vor dem Einsatz solcher einfachen biometrischen Verfahren, bei denen sich die Nutzer die zusätzliche Bequemlichkeit auf Kosten der Sicherheit erkaufen – meist, ohne sich dessen bewusst zu sein. Schließlich lassen sich gerade die bei Smartphones und auch PCs immer weiter verbreiteten Verfahren der Gesichtserkennung und des Fingerabdruckscans sehr leicht austricksen. Zudem weisen sie auf die ebenfalls gerne unterschätzte Gefahr der nachhaltigen Kompromittierung solcher biometrischer Systeme hin. Haben Hacker erst einmal den Fingerabdruck oder ein passendes Foto einer Person erbeutet, können sie damit auch zukünftig höchstwahrscheinlich jeden auf diese Merkmale zurückgreifenden Schutzmechanismus umgehen. Sie sollten deshalb nie alleine, sondern höchstens als zusätzliche Verstärkung im Rahmen einer Mehrfaktor-Authentifizierung eingesetzt werden. Auch Besitzern des Galaxy S8 ist somit trotz aller Bequemlichkeit und Freude an der neuen Option nur zu empfehlen, lieber doch die althergebrachten und änderbaren Schutzmechanismen wie Passwörter und PINs zu nutzen, wenn ihnen ihr Gerät und die Daten wirklich etwas wert sind.