Vergangenen Mittwoch stellte Samsung das Galaxy S8 sowie das größere Galaxy S8 Plus vor und man kann sagen: die Show war ein voller Erfolg. Trotz der zahlreichen Leaks im Vorfeld des Events und der dadurch selten aufgekommenen Überraschungsmomente ist das neue Spitzengerät der Koreaner sehr gut angekommen. Doch wie mit jedem Obstkorb üblich, sind auch einige faule Äpfel darunter. Ganz besonders die Gesichtserkennung, die eigentlich für mehr Datensicherheit sorgen sollte, sich aber mit einem simplen Schritt austricksten lässt.

Spätestens seit dem iPhone 5S aus dem Jahre 2013 war das Entsperren per Fingerabdruck ein Muss. Samsung baute einen Fingerscanner 2014 in sein Galaxy S5 ein. Nie wieder Passwörter merken! Und mehr Sicherheit mit nur einem Fingertipp! So zumindest das Versprechen und in der Tat wäre das Entsperren des Geräts mit dem Fingerabdruck bequem, würde das Phone den Finger auf Anhieb erkennen. Stattdessen muss man öfters über den Sensor wischen und darauf achten, dass kein Kaffeefleck am Finger klebt. Und was das Thema Sicherheit angeht, naja, mit ein wenig Aufwand konnte der Fingerabdrucksensor ausgehebelt werden. Beim Galaxy S5 waren dazu nötig ein Stück bearbeitbare Knete, den von irgendwoher erlangten Fingerabdruck des Users und etwas technisches Wissen sowie Geduld. Damit hat sich gezeigt, dass auch biometrische Merkmale, trotz ihrer Einzigartigkeit, kein Allheilmittel sein können gegen unerwünschtes Eindringen ins Mobilgerät.

Was der Finger nicht richten kann, soll das Auge aus der Welt schaffen. Genauer: der Iris Scanner. Samsung verbaute ihn in die Frontkamera und wer möchte, kann das Phone mit seiner Regenbogenhaut entsperren oder digitale Einkäufe damit bestätigen. Die Iris in all ihrer Farbpracht ist nämlich genauso einzigartig wie der Fingerabdruck, was sie ideal macht um sie einem Gerät zuzuweisen. In der Theorie ist das Sichern des Phones mit der Iris also etwas sicherer als per Fingerabdruck.

Im Galaxy S8 kann man statt den Finger oder die Iris auch das Gesicht zum Entsperren nutzen. Auch hier wird selbstverständlich die Frontkamera verwendet und eine Software erkennt anhand bestimmter Punkte, ob es sich um den Besitzer handelt. Das große Problem nun: das Feature lässt sich mit einem Foto des Besitzers austricksen. Scheinbar kann das Galaxy S8 nicht zwischen einer echten Person und der Abbildung dessen unterscheiden. Ein spanischer Periscope-Nutzer schoss dafür ein Bild mit seinem eigenen Phone und hielt es dem Galaxy S8 gegenüber. Ein paar Minuten und etwas Rumgefummel später entsperrt sich das Galaxy S8 und offenbart alle Inhalte, auch die sehr persönlichen.

Das Problem der fehleranfälligen Gesichtserkennung ist nicht neu und lässt sich zu Google’s „Face Unlock“ in Android 4.0 aus dem Jahre 2011 zurückverfolgen. Schon dort bestand das Problem, das sich das System einfach austricksen lässt. Gut sechs Jahre später und die gleichen Probleme sind noch immer nicht gelöst. Dass Samsung sich dieses Problems bewusst ist, zeigt sich daran, dass Einkäufe über den Bezahldienst Samsung Pay ausschließlich per Fingerabdruck oder Iris bestätigt werden können. Wer sich also das Galaxy S8 holt, übrigens ein Spitzengerät und das Beste Android Phone bis dato, sollte lieber ein Passwort verwenden.

Quelle: arstechnica.com Bild: samsung.com