Android-Gesichtserkennung: Sicherheitslücken erschüttern Milliardenmarkt

Neue Berichte belegen gravierende Schwachstellen in Android-Gesichtserkennungssystemen – und US-Gesetzgeber reagieren mit scharfen Forderungen.

Schwachstelle 2D-Gesichtserkennung: Jedes zweite Android-Handy betroffen

Eine umfassende Untersuchung der Verbraucherschutzorganisation Which? hat erschreckende Ergebnisse zutage gefördert. Von 208 seit 2022 getesteten Smartphone-Modellen ließen sich 133 Geräte – rund 64 Prozent – mit einem simplen gedruckten Foto des Besitzers entsperren. Selbst Flaggschiff-Modelle wie das Oppo Find X9 Pro, das Motorola Razr 50 Ultra und die gesamte Samsung Galaxy S25-Reihe fielen durch den Test.

Angesichts solch erschreckender Sicherheitslücken bei der Gesichtserkennung ist ein proaktiver Schutz des eigenen Geräts unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Tester bemängeln vor allem fehlende Warnhinweise: „Viele Hersteller klären ihre Kunden nicht ausreichend über die Grenzen der Gesichtserkennung auf", so ein Sprecher der Organisation. Besonders kritisch sehen die Experten die Marken Motorola, OnePlus und Nothing, die bei der Ersteinrichtung keine klaren Sicherheitshinweise geben.

Die Industrie verteidigt sich: „Die Gesichtserkennung ist als Komfortfunktion gedacht, nicht als Sicherheitsmerkmal", erklärt ein Fairphone-Sprecher. Das Unternehmen klassifiziert die Funktion im aktuellen Gen 6-Modell als Class-1-Biometrie – sie erlaubt zwar den Zugriff auf den Sperrbildschirm, nicht aber auf sensible Aktionen wie NFC-Zahlungen oder Banking-Apps. OnePlus betont, dass Nutzer vor Aktivierung explizit auf die Risiken hingewiesen werden.

Firmware-Lücke gefährdet 875 Millionen Geräte

Doch die Probleme gehen tiefer. Eine kritische Sicherheitslücke in MediaTek-Chipsätzen (CVE-2026-20435) betrifft schätzungsweise 875 Millionen Android-Smartphones weltweit. Der Fehler liegt tief im Boot-Prozess versteckt und ermöglicht Angreifern mit physischem Zugriff, den Sperrbildschirm zu umgehen – in weniger als einer Minute mit Spezialwerkzeug und Kabelverbindung.

Da der Angriff vor der vollständigen Initialisierung des Betriebssystems stattfindet, helfen weder Verschlüsselung noch App-Berechtigungen. Angreifer können PIN-Codes und Verschlüsselungsschlüssel extrahieren und erhalten vollen Zugriff auf alle Gerätedaten.

Das April-2026-Android-Sicherheitsbulletin bestätigt zudem eine weitere schwere Schwachstelle: CVE-2026-0049. Dieser „Zero-Interaction"-Fehler im Android-Framework ermöglicht Denial-of-Service-Angriffe ohne Benutzerinteraktion – ein weiterer Beleg für die grundlegenden Sicherheitsprobleme des mobilen Betriebssystems.

Lichtblicke: Pixel und Galaxy S26 bestehen Tests

Nicht alle Hersteller fallen durch. Googles Pixel 8, 9 und 10 sowie das aktuelle Samsung Galaxy S26 bestanden die sogenannten Liveness-Detection-Tests. Diese Modelle nutzen fortschrittliche Algorithmen oder Hardware-Integrationen, um zu prüfen, ob die biometrische Quelle ein lebender Mensch ist.

Da herkömmliche Sicherheitsmerkmale oft nicht ausreichen, empfehlen IT-Experten zusätzliche Vorkehrungen für jedes Android-Gerät. Sichern Sie WhatsApp, PayPal und Ihre Bank-Apps jetzt mit erprobten Methoden ab, die Sie im gratis PDF-Leitfaden finden. Kostenlosen Sicherheits-Ratgeber herunterladen

Zukunft der Biometrie: 3D-Infrarot statt 2D-Kamera

Die Branche reagiert. Google arbeitet nach Informationen aus Kreisen des Unternehmens an einem Projekt namens „Toscana", das Infrarot-basierte Gesichtserkennung für künftige Pixel- und Chromebook-Geräte bringen soll. Ziel ist es, Apples Face ID in puncto Sicherheit und Geschwindigkeit zu übertreffen – mit Unter-Display-Infrarotsensoren, die ohne störende Notch auskommen.

Das kürzlich veröffentlichte Android-Sicherheitsdokument 2026 bestätigt den Trend: Android 16 führt eine „Identity Check"-Funktion ein, die biometrische Authentifizierung für sicherheitskritische Aktionen verlangt – selbst wenn der Angreifer den PIN bereits kennt. Diese Funktion soll sogenannte „Shoulder-Surfing"-Angriffe verhindern, bei denen Diebe den PIN beobachten, bevor sie das Gerät stehlen.

Analyse: Der Preis des Designs

Die aktuelle Krise offenbart einen grundlegenden Zielkonflikt: Hersteller opfern Sicherheit für Design. Der Trend zu randlosen Displays hat dedizierte biometrische Hardware wie Infrarot-Projektoren verdrängt. Stattdessen setzt die Industrie auf Standard-Frontkameras und KI-Modelle – eine Methode, die gegen einfache 2D-Angriffe nicht gewappnet ist.

Die technischen Schwachstellen haben auch eine rechtliche Dimension: Der gestern in den USA eingebrachte Gesetzesentwurf, der richterliche Anordnungen für biometrische Durchsuchungen vorschreibt, zeigt, dass die Politik die Grenzen der Technologie erkennt.

Ausblick: Wann kommt die Wende?

Mit dem Rollout von Android 16 in diesem Frühjahr dürfte die Branche den Umstieg auf hardwaregestützte Sicherheitsarchitekturen beschleunigen. Marktforscher erwarten, dass die nächste Premium-Smartphone-Generation – voraussichtlich die Pixel-11-Serie – von Class-1-2D-Gesichtserkennung auf Class-3-Biometrie mit Unter-Display-Infrarot-Technologie umstellt.

Bis dahin empfehlen Sicherheitsexperten: Nutzer betroffener Modelle – insbesondere MediaTek-basierte Geräte oder Smartphones von Marken, die bei den Spoofing-Tests durchgefallen sind – sollten auf komplexe PINs oder Fingerabdruckscanner umsteigen. Die Gesichtserkennung mag bequem sein, aber für die meisten Android-Nutzer fehlt ihr derzeit der nötige Sicherheitsstandard.

de | boerse | 69255441 |