Foto-Trick gibt Fremden Zugriff auf dein Handy - diese Modelle sind betroffen

Artikel von:  Lea Mitulla

Das Handy per Gesicht zu entsperren, ist nicht so sicher, wie viele denken. Ein Test zeigt, welche Smartphones mit einem einfachen Foto überlistet werden können.

Statt per PIN oder Fingerabdruck entsperren inzwischen die meisten Leute ihr Handy per Gesichtserkennung. Das Gerät muss einfach vor das Gesicht gehalten werden und die Kamera erkennt einen automatisch. Es geht schnell und unkompliziert - aber ist es auch sicher? Forschende haben herausgefunden, dass die Sperre leichter ausgetrickst werden kann, als wir dachten.

Das Problem: Bei einigen Smartphone-Modellen lässt sich die Gesichtserkennung durch ein Foto überlisten. Wenn jemand Zugriff auf dein Handy haben will, kann er also ein Bild von dir vor die Kamera halten und das Gerät wird entsperrt. Das ist besonders kritisch bei sogenannten Passkeys, die bei vielen Online-Diensten zur Authentifizierung zum Einsatz kommen. Laut Experten ist diese Methode besonders sicher, da sie statt eines eingetippten Passworts die jeweilige Entsperrmethode des Handys nutzt (meist Fingerabdruck oder Gesichtserkennung). Kann das Handy per Foto entsperrt werden, ist diese vermeintliche Sicherheit hinfällig.

Handy mit Gesicht entsperren: Foto-Trick überlistet Sicherheitssystem vieler Smartphone-Hersteller

Das britische Fachportal "Which?" hat seit 2022 unterschiedliche Handys getestet. 64 Prozent der Geräte ließen sich mit einem ausgedruckten Foto der Besitzer entsperren. Nur bei wenigen Herstellern habe es im Testzeitraum technische Verbesserungen gegeben. Bis 2024 habe sich das Problem sogar verschlimmert, heißt es aus dem Labor. Zwischen 2022 und 2026 wurden insgesamt 208 Smartphones geprüft. Handys der folgenden Marken konnten im Test durch den Foto-Trick entsperrt werden:

  • Asus
  • Fairphone
  • Honor
  • HMD
  • Motorola
  • Nokia
  • Nothing
  • OnePlus
  • Oppo
  • Realme
  • Samsung
  • Vivo
  • Xiaomi

Was die Experten von "Which?" besonders kritisch sehen, ist nicht die Tatsache, dass viele Handy-Hersteller scheinbar bei der Sicherheit sparen. Vielmehr fehle es an "ausreichenden Warnungen", die Nutzer auf die Schwächen des Systems hinweisen.

Risiko der Gesichtserkennung beim Handy - Nutzer werden nur selten gewarnt

Darunter versteht das Portal einen deutlichen, gut sichtbaren Hinweis während des Einrichtungsvorgangs, der dem Nutzer deutlich macht, "dass sein Smartphone durch ein 2D-Foto oder durch eine ihm ähnlich sehende Person umgangen werden könnte".

Einige Hersteller haben dies bereits umgesetzt, darunter Xiaomi und Samsung. Bei anderen ist der Hinweis aber weiterhin nicht auffindbar, in den AGB oder hinter einem weiterführenden Link versteckt. Laut "Which?" haben einige Hersteller, nachdem sie damit konfrontiert wurden, lediglich auf den Fingerabdrucksensor als vorrangige Sicherungsmethode verwiesen.

Allerdings ist fraglich, wieso die Gesichtserkennung in diesem Fall als Option angeboten wird, wenn sie nicht zur Sicherung geeignet ist. Vom Kauf der betroffenen Handy-Modelle raten die Fachleute daher ab.

Warnhinweis fehlt: Diese Handys lassen sich mit einem Foto von dir entsperren

Folgende Handys sind durch den Test gefallen und geben Nutzern keinen Warnhinweis bei der Einrichtung der Gesichtserkennung:

  • Fairphone 6
  • Honor Magic 6 Lite (5G)
  • Motorola Moto G75 (5G), Moto G56 (5G), Moto G86, Moto G35, Moto G55, Moto G73
  • Motorola Edge 60 Pro, Edge 60 Fusion, Edge 40 Neo, Edge 50 Ultra, Edge 50 Pro
  • Motorola Razr 50 Ultra
  • Nothing Phone 2a und 2a Plus
  • Nothing Phone 3a und 3a Pro
  • Nothing Phone 3
  • OnePlus 13R, OnePlus 13, OnePlus 15
  • OnePlus Nord 5, Nord CE5, Nord 3 (5G)
  • Oppo Reno 13 F, Reno 13 Pro, Reno 11 F (5G)
  • Oppo Find X9 und Find X9 Pro

Wer bereits eines der betroffenen Smartphones benutzt, sollte sich des Risikos bewusst sein. Entsperren per Fingerabdruck oder ganz klassisch per PIN könnte die sicherere Option sein.

Handy kann von Fremden entsperrt werden - daran liegt es

Die Ursache, wieso ein Foto die Handy-Sperre überlisten kann, liegt in der Technologie hinter der Gesichtserkennung. Jedes Mal, wenn du dein Handy entsperrst, wird dein Gesicht mit einem oder mehreren zuvor gespeicherten Gesichtsbildern verglichen. Das funktioniert in der Regel so:

  • Das Handy erkennt automatisch, dass du auf den Bildschirm schaust bzw. dass du auf dein Handy tippst.
  • Ein Scanner wird aktiviert, der meist per Frontkamera oder zusätzlich per Infrarotstrahlen dein Gesicht erfasst und charakteristische Merkmale erkennt.
  • Die erkannten Merkmale (z. B. die Position der Augen) werden mit der hinterlegten "Vorlage" abgeglichen.
  • Stimmen die Merkmale überein, wird das Handy entsperrt.

Wie leicht sich dieses System überwinden lässt, hängt davon ab, ob der Gesichtsscan auf 2D- oder 3D-Kameratechnik basiert. Wie der Name schon sagt, kann nur die 3D-Technik auch die Tiefendimension deines Gesichts erfassen. Statt eines flachen Bildes, wird also eine räumliche Landkarte deines Gesichts erstellt und abgeglichen. Das System kann somit zwischen echten, dreidimensionalen Menschen und einem zweidimensionalen Foto unterscheiden. Dafür wird jedoch zusätzliche Hardware benötigt, eine sogenannte "True Depth Camera" wie Apple etwa für Face ID beim iPhone verwendet. Das kostet jedoch mehr. Daher begnügen sich viele Hersteller mit 2D-Verfahren.

Eine Alternative gibt es von Google. Bei den Pixel-Handys wird seit dem Pixel 8 künstliche Intelligenz eingesetzt, um das 2D-Bild der Kamera in ein 3D-Modell umzuwandeln. Damit schafft es das System trotzdem, die höchste Sicherheitsstufe für biometrische Verfahren zu erfüllen (Klasse 3). Entsperrmethoden dieser Stufe gelten als besonders fälschungssicher und lassen sich nicht mit Fotos austricksen. Daher dürfen sie für die Freigabe von Zahlungen beim Online-Banking oder in Bezahl-Apps genutzt werden. 

2D- oder 3D-Gesichtserkennung: Was ist der Unterschied?

 
2D-Gesichtserkennung
3D-Gesichtserkennung
Hardware
Frontkamera
Frontkamera mit Tiefensensor (Infrarot oder KI)
Methode
Kamera erfasst 2D-Bild des Gesichts, das vom System mit dem gespeicherten Bildern verglichen wird
Tiefenkamera und Infrarotscan (Gitternetz aus tausenden kleinen Punkten) erfassen das Gesicht in 3D, das vom System mit dem gespeicherten 3D-Modell verglichen wird
Zuverlässigkeit
Zu wenig Licht und optische Veränderungen wie Sonnenbrillen beeinflussen Ergebnis
Zu wenig Licht kann Ergebnis beeinflussen, sofern kein Infrarotsensor eingesetzt wird
Sicherheitsstandard
gering und nicht für Online-Banking geeignet, kann mit Fotos überlistet werden
hoch und für Online-Banking geeignet, kann unter Umständen mit Deepfakes überlistet werden
Kosten
gering
hoch
Beispiele
Samsung Galaxy S25, Honor Magic 6 Lite
Apple iPhone (ab dem iPhone X), Honor Magic 6 Pro, Google Pixel (ab Pixel 8)
 
Vorschaubild: © Pixel-Shot/AdobeStock