Lyntest: Så let snyder du ansigtsgenkendelsen i Android 4.0

Det samme par briller var nok til at snyde ansigtsgenkendelsen på Android 4.0-telefonen Galaxy Nexus for to af Version2's journalister.

Man kan ikke ligefrem beskylde os for at være enæggede tvillinger. Og vi er heller aldrig blevet spurgt, om vi er i familie med hinanden.

Men der skulle alligevel ikke mere til end det samme par briller for at snyde den indbyggede ansigtsgenkendelse på Android 4.0-telefonen Galaxy Nexus, der er Googles og Samsungs fælles barn.

Ansigtsgenkendelse er en helt ny funktion i Android 4.0, som blandt andet kan bruges til at låse telefonen op.

Altså et alternativ til en talkode eller et gittermønster, som det kendes fra smartphones normalt, når telefonen skal beskyttes med stærkere sager end blot et swipe med fingeren.

Kig på telefonens forside, som er udstyret med et kamera, og den indbyggede algoritme til ansigtsgenkendelse i Android 4.0 kværner dine ansigtstræk igennem og sammenligner med billedet af brugeren i databasen.

Matcher det, er der fri adgang til telefonen.

Langt fra en sikker metode

Men en hurtig test viser, at ansigtsgenkendelsen i Android 4.0 langtfra er nogen skudsikker teknik til beskyttelse af ens dyrebare, personlige data på telefonen.

Testperson 1, Version2-journalist Mikkel Meister, er telefonens daglige bruger.

Testperson 1 kan derfor normalt låse telefonen op uden problemer ved blot at kigge på den. Helt efter hensigten. Testperson 1 kan dog ikke låse telefonen op, hvis han tager brillerne af, og det fik Version2 til at afprøve, om ansigtsgenkendelsen kan snydes, som også udenlandske medier har rapporteret om.

Og det er lettere, end man skulle tro.

For testperson 2 kunne flere gange i træk låse telefonen op ved blot at tage testperson 1's briller på.

Men vi kunne også fotografere de to testpersoner med Galaxy Nexus' kamera, printe billederne ud på et A4-ark og gentagne gange låse telefonen op uden problemer ved blot at at holde papiret op foran telefonen.

Og en tredje person, der tilfældigt kom forbi under testen, kunne låse telefonen op i første hug. Uden at skifte sine egne briller ud med testperson 1's briller.

En fjerde forsøgskanin kunne dog ikke låse telefonen op ved at tage testperson 1's briller på, så ansigtsgenkendelsen er ikke helt håbløs. Og tricket med at holde A4-arket med billedet op foran kameraet virkede heller ikke i alle tilfælde for testperson 2's vedkommende.

Konklusionen er altså, at ansigtsgenkendelsen i Android 4.0 er et sjovt alternativ til de almindelige måder at låse en smartphone op på. Men det er ikke nogen sikker metode, hvis personlige data, e-mails fra arbejdet og den slags for alvor skal beskyttes via en adgangskontrol.

Da Android 4.0 blev præsenteret i oktober, og dermed også funktionen med login via kameraet, var sikkerheden også til diskussion. Dengang svarede en Google-ansat via Twitter, at man ikke kunne snyde telefonen med et billede.

Læs også: Google: Nej, du kan ikke snyde nyt ansigts-login med et billede

Telefonen er venligst udlånt af Samsung, og Version2 bringer i næste uge en anmeldelse af Galaxy Nexus.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Kibsgård

Snedigt med de smarte briller.
Jeg havde nu alligevel slået det fra, fordi det er for langsomt og har brug god belysning.
Ikke at det er decideret langsomt, men man taster altså pinkoden eller tegner mønsteret virkelig hurtigt.

  • 0
  • 0
Mads Holme

for det første er ansigts oplåsning jo bare et gimmic, det er jo ikke noget folk seriøst vil bruge.

Så skan man spørge sig, hvorfor det er med. Jamen det er proof of consept. senere vil vi se samme teknik blive brugt til video chat og andre, hvor systemet kan genkende brugere og fokusere på dem der snakker.

hvis man vil have ægte sikkerhed bruger man jo heller ikke tegne mønstret, men en rigtig pinkode.

  • 2
  • 3
Michael Lykke

det er proof of consept


Proof of concept skal ikke smides i produktion og slet ikke i en hamrende usikker "beta" udgave som folk meget vel kunne finde på at bruge.

Det er fint at du som teknisk kyndig person kan gennemskue at det er en gimmick men nu købes størstedelen af telefonerne ikke af teknisk kyndige personer og mange vil uden tvivl kunne finde på at bruge funktionen.
Ligeledes har Google jo fastslået at den ikke bare kan brydes med et billede eller lign. så folk vil formentligt have tillid til den udmelding.
Men det er her er jo en joke når to personer med vidt forskellige ansigtstræk kan åbne telefonen så let.

Som med alt andet Google er alle testere og software beta.


Det må siges at have kendetegnet Android siden starten. Det er bare rigtig kritisk når det kommer til funktioner man introducere som "sikkerhed".

  • 3
  • 5
Knud Henrik Strømming

... har intet med sikkerhed at gøre. Kan vi ikke aflive den diskussione én gang for altid?

Biometriske kendetegn er pr. definition offentligt tilgængelige, og derfor kan de aldrig bruges til at bevise, at du er den, du påstår at være. Biometri kan i visse situationer være en bekvem måde at identificere brugeren på overfor et system, men ikke til at autentificere, at brugeren faktisk er den, hyn påstår at være, da den biometriske information netop er offentligt tilgængelig. Biometri har derfor intet som helst med sikkerhed at gøre.

Sensationen i denne historie er faktisk mest, at verdenspressen endnu en gang er hoppet på limpinden og har troet på producentens forsikringer om, at biometri kan bruges som en "sikker" metode til adgangskontrol. Sikkerhedskoryfæer, bl.a. Bruce Schneier, aflivede dén myte i forrige årtusinde - !

  • 4
  • 0
Michael Lykke

@Claus - Arh så tror jeg du skal have tjekket øjnene en ekstra gang :)

Ansigtsformen er forskellig, det samme er næsen såvel kæbelinien. Der er også forskel på panden såvel som munden.

  • 1
  • 0
Michael Lykke

.. har intet med sikkerhed at gøre. Kan vi ikke aflive den diskussione én gang for altid?


Nu er jeg ikke ekspert i biometri men jeg er umiddelbart ikke enig.

Der er nøjagtig lige så meget sikkerhed i at give adgang til telefonen via en scanning af ansigtet(Forudsat at det er lavet ordentligt) som der er med brug af en pinkode.
Pinkoden dokumentere heller ikke at man er den man er... Det er der vel ikke rigtig nogen sikkerhedsforanstaltnigner der gør med mindre vi begynder at inkludere DNA test eller lign. Det handler vel om at identificere brugeren ud fra den forudsætning at andre ikke har adgang til adgangsoplysningerne.
Du kan godt argumentere for at visse biometriske informationer er "offentligt" tilgængelig som fx et billede, men det er jo netop fordi det er en elendig implementering der er lavet. Funktionen kræver jo netop at softwaren kan se forskel på et billede og en rigtig person og hvis man først kan lave det skel så må man formåde at dit ansigt er rimelig privat og ikke noget der lige kan "deles" med andre.

  • 0
  • 0
Martin Ipsen Pedersen

Jeg havde nok også ventet en bedre kvalitet i ansigtsgenkendelse, men omvendt kan det jo være en god ide at få funktionaliteten på banen i en fart så man ikke bagefter kan sagsøges af en konkurrent for at have lavet noget konkurrenten havde tænkt sig at gøre. For god ordens skyld det er og kan kun være rent spekulation fra min side ;-)

  • 1
  • 0
Jakob Damkjær

PATENTER GÆLDER FOR METODER IKKE IDEER.

Så hvis man implementere dårlig metode a for funktionalitet a og en anden producent implementere god metode b for funktionalitet a har den første producent ingen umiddelbar ret til at sagsøge den anden producent...

  • 0
  • 0
Martin Ipsen Pedersen

Ja-ja, men hvis du lige tager næsen op fra bøgerne... hvad har så "umiddelbar ret" med jura, søgsmål og forretningsstrategi at gøre? Jura er jo ingen eksakt videnskab, der er masser af spillerum for fortolkninger.

Vær bare uenig, men verden er kynisk og kan man forsinke konkurrentens produkt i uger eller måneder er det rigtig mange penge værd. Ikke alle har moral til at lade være.

Og så er jeg vist godt og grundigt på vej off-topic ;-)

  • 0
  • 0
Claus Nielsen

"Der er nøjagtig lige så meget sikkerhed i at give adgang til telefonen via en scanning af ansigtet(Forudsat at det er lavet ordentligt) som der er med brug af en pinkode"

Nej der er ej.

Din pinkode kan opsnappes mens du logger ind. Dit ansigt kan "opsnappes" med et kamera selv naar du ikke er ved at logge ind.

Hvis du har nistanke om at din pinkode er komprommitteret kan du simpelt og gratis aendre din pinkode.
Hvis du har mistanke om at en anden persons ansigt kan bruges til at logge ind paa din telefon er det kompliceret og dyrt at aendre sit ansigt (og det er svaert paa forhaand at garantere at det vil aendre nok til at personen ikke stadig vil kunne logge ind).

  • 2
  • 0
Michael Lykke

Dit ansigt kan "opsnappes" med et kamera selv naar du ikke er ved at logge ind.


Ja, men det er kun et problem fordi Google har lavet en elendig implementering af ansigtsgenkendelsen der ikke formår at skelne mellem et billede og et rigtigt ansigt. Hvis implmenteringen havde formået at lave dette skel så ville det ikke gøre nogen forskel at andre kunne tage dit billede.

  • 0
  • 1
Claus Nielsen

Nej. Problemet er at biometri altid kraever et kompromis mellem frekvensen af falske positive og falske negative.

Man kan vaelge hoej sikkerhed, hvis man vil, men vil saa komme ud for at den korrekte bruger i flere tilfaelde ikke kan faa lov til at bruge sin telefon.

Alternativt kan man vaelge at den korrekte bruger altid skal kunne logge ind med sit ansigt med det her viste resultat at visse andre ogsaa kan goere det med deres ansigt eller ved at vise kameraet et godt billede.

Som eksempel kan jeg naevne at jeg selv har store problemer med at bruge fingeraftryksscannere til login paa computere idet mine fingre normalt er meget toerre.
Hvis jeg saa har vasket fingrene har jeg en periode paa op til 15 minutter, hvor jeg lige saa godt kan opgive at logge ind med fingerscan idet mine fingre nu er for fugtige og dermed tilstraekkelig anderledes end normalt til at systemet ikke vil acceptere dem.
Her er det altsaa systemets forsoeg paa at give hoej sikkerhed der goer at jeg ikke selv kan bruge min computer. Hvis de paa den anden side havde lavet systemet saa det ville lade mig logge ind med fugtige fingre alligevel, ville det blive nemmere for alle andre at logge ind bare med et billede af mit fingeraftryk.

  • 0
  • 0
Svend Eriksen

Jeg havde nok også ventet en bedre kvalitet i ansigtsgenkendelse, men omvendt kan det jo være en god ide at få funktionaliteten på banen i en fart så man ikke bagefter kan sagsøges af en konkurrent for at have lavet noget konkurrenten havde tænkt sig at gøre.


Det undskylder ikke at man har implementeret ansigtsgenkendelse i Android og tilmed markedsført det som sikkerhed. Under lanceringen af Android 4 var ansigtsgenkendelse netop en af de ting Google slog på tromme for.

Hvis det blot var for at få patent, så kunne man have sikret sig patentet uden at gøre andet. Man kunne også have implementeret ansigtsgenkendelse i android, og så advaret om, at det overhovedet ikke yder nogen form for sikkerhed.
Det ville have været det rimelige at gøre.

  • 2
  • 0
Log ind eller Opret konto for at kommentere