![Consumentenbond: gezichtsherkenning eenvoudig te omzeilen met foto [update]](https://r.testifier.nl/Acbs8526SDKI/resizing_type:fill/width:1200/height:800/crop:0.999:0.99/dpr:1/el:1/plain/https%3A%2F%2Fs3-newsifier.ams3.digitaloceanspaces.com%2Fandroidworld.nl%2Fimages%2Fimages%2Feye-1173863_1920.jpg)
Het artikel is aangevuld met een statement van Samsung over gezichtsherkenning op de Galaxy-toestellen.
Onderzoek Consumentenbond
De Consumentenbond heeft de gezichtsherkenningsfunctie van 110 toestellen onderzocht. Uit dit onderzoek is gebleken dat maar liefst 42 toestellen met een goede foto te ontgrendelen waren. De Consumentenbond heeft een 'fotohack'-lijst gepubliceerd met telefoons die hier kwetsbaar voor zijn. In de lijst wordt onderscheid gemaakt in telefoons die ontgrendeld kunnen worden met een foto, telefoons die ontgrendeld kunnen worden met een foto maar waarbij de gezichtsherkenning wel 'strikter' ingesteld kan worden en telefoons die niet met een foto ontgrendeld kunnen worden.
In de categorie 'telefoons die ontgrendeld kunnen worden met een foto' komen onder andere de volgende telefoons voor: de Samsung Galaxy A7 en A8, de Xiaomi Mi A2, de Huawei P20, P20 Lite en P20 Pro, de Nokia 3.1 en Nokia 7.1 en de Sony Xperia XZ2 en XZ2 Compact. Hierbij merkt de Consumentenbond op dat er bij het instellen van de gezichtsontgrendeling vaak wel een waarschuwing wordt getoond waarin staat dat de techniek niet zo veilig is als andere.
Het onderzoek geeft ook aan dat niet alle telefoons een zwakke gezichtsherkenningsfunctie hebben: "De Samsung Galaxy S9, S9+ en Note 9 en de Huawei Mate 20 en Mate 20 Pro laten zich niet om de tuin leiden met een foto." In deze categorie zien we ook de iPhone XR en XS (Max), de OnePlus 6 en de Wiko View 2.
Het advies van de Consumentenbond is dan ook om op deze telefoons gezichtsherkenning uit te schakelen en ze te ontgrendelen met een pincode of vingerafdruk.
Verschillende vormen van gezichtsherkenning
Het is niet bekend welke vormen van gezichtsherkenning door de Consumentenbond op de geteste smartphones is gebruikt. Het is namelijk al geruime tijd bekend dat de standaard gezichtsherkenning in Android niet zo veilig is. In een aantal Androidtoestellen zoals de Nokia 5.1 Plus is deze vorm van ontgrendeling nog te activeren via Instellingen > Beveiliging en locatie > Smart Lock > Vertrouwd gezicht. Op de Pixel 3 XL staat 'Vertrouwd gezicht' er niet meer tussen. De Samsung Galaxy S9+ heeft Smart Lock helemaal geschrapt.
Google geeft ook een waarschuwing als je 'Vertrouwd gezicht' als ontgrendelingsmethode gebruikt omdat deze technologie minder veilig is. Zo zou iemand die op je lijkt (een tweelingbroer of -zus) veelal zonder problemen kunnen inloggen op je telefoon.
Gezichtsontgrendeling op de Samsung Galaxy S9, S9+ en Note 9 is een stukje complexer. Naast de irisscanner, vingerafdrukscanner en gezichtsherkenning is er op deze toestellen ook Intelligente Scan te vinden. Intelligente Scan combineert de irisscanner en gezichtsherkenning om zo het ontgrendelen nog veiliger te maken. De Huawei Mate 20 Pro beschikt over '3D Face Unlock' die meerdere sensoren (een frontcamera (20 MP), infraroodcamera, dot projector, nabijheidssensor, omgevingslichtsensor en een floodlight) gebruikt om gezichtsherkenning veiliger te maken zodat het zelfs veilig genoeg is om ook smartphonebetalingen met je gezicht te verifiëren.
Het is dus van belang om onderscheid te maken in verschillende vormen van gezichtsontgrendeling, omdat de ene gewoonweg veiliger is dan de andere.
Oppassen
Hoewel de resultaten van het onderzoek van de Consumentenbond om meerdere manieren geïnterpreteerd kunnen worden, zorgt het er wel voor dat we er bij stilstaan. Dat alleen zorgt weer voor bewustwording, gezichtsontgrendeling is namelijk zeker nog niet veilig genoeg en aangezien deze vorm van ontgrendeling steeds populairder wordt, is bewustwording op zijn plaats.
Ook Google heeft medio 2018 aangegeven dat de biometrische identificatie (zoals identificatie via vingerafdruk, iris of gezicht) aan populariteit wint, met gezichtsherkenning voorop. Daarom heeft het bedrijf nieuwe veiligheidsmaatregelen omtrent gezichtsherkenning in Android Pie gebouwd. Hierbij wordt er een onderscheid gemaakt tussen veilige en minder veilige ontgrendelingsmethodes, waarna een limiet gesteld wanneer je weer je pincode als extra beveiliging moet invoeren. Maar goed, nog lang niet elke Androidtelefoon draait op de Android Pie-software.
Advies
In onze AW Poll over de meest gebruikte ontgrendelingsmethoden staat de vingerafdruk op nummer één. De pincode staat op nummer twee, gezichtsherkenning, patroon, pincode en Smart Lock volgen daarna. Wij adviseren de uitslag van deze poll te volgen en een smartphone te ontgrendelen via de vingerafdrukscanner of een combinatie van meerdere ontgrendelingsmethodes. Gezichtsherkenning zouden we voor ontgrendeling niet aanbevelen.
Samsung stuurde ons het volgende met betrekking tot de uitkomst van het onderzoek van de Consumentenbond: "De Galaxy A-, S- en Note-series zijn voorzien van verschillende vormen van biometrische beveiliging met het hoogste veiligheidsniveau. Op de Galaxy A7 en A8 is dat de vingerafdrukscanner, de Galaxy S- en Note-series beschikken ook over een irisscanner. Naast de biometrische beveiliging kunnen gebruikers met deze smartphones hun telefoon ook ontgrendelen met gemakkelijkere mogelijkheden, zoals swipe en gezichtsherkenning. Wij willen benadrukken dat gezichtsherkenning alleen gebruikt kan worden om de telefoon te ontgrendelen en niet gebruikt kan worden om toegang te krijgen tot de Beveiligde Map. De aanpak van Samsung om smartphones veilig te houden, reikt overigens verder dan de ontgrendeling. Zo hebben wij ons beveiligingsplatform KNOX in al onze smartphones ingebouwd. Met KNOX zijn persoonlijke data beschermd op hardware- en softwareniveau. Wij adviseren klanten om naast de gemakkelijke methoden om hun telefoon te ontgrendelen ook altijd een of meerdere van de biometrische mogelijkheden te gebruiken. Voor de Galaxy A7 en A8 is dat de vingerafdrukscanner, terwijl Galaxy S- of Note-gebruikers zowel de vingerafdruk- als irisscanner kunnen inzetten."
