Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Pixel 4 kan met gezichtsherkenning worden ontgrendeld als gebruiker ogen sluit

De gezichtsontgrendelingfunctie van de Pixel 4 werkt ook op personen die hun ogen dichthouden. Daardoor kan de telefoon ook worden ontgrendeld bij gebruikers die bijvoorbeeld slapen, of die daartoe worden gedwongen. Volgens Google is dat de bedoeling.

Een journalist van de BBC ontdekte dat voor het eerst. Hij testte dat vervolgens bij meerdere personen. De telefoon kan worden ontgrendeld door die alleen voor het gezicht van iemand te houden. De eigenaar hoeft daarbij zijn ogen niet open te hebben, zoals dat bij andere authenticatiemethodes zoals Apples FaceID en Microsofts Windows Hello wel de bedoeling is.

De BBC sprak ook met beveiligingsexperts die zeggen dat de functie een risico oplevert voor gebruikers. Er zijn gevallen bekend waarbij bijvoorbeeld de politie iemand wil dwingen een telefoon te ontgrendelen, maar ook kinderen zouden op deze manier bijvoorbeeld makkelijk in de telefoon van hun ouders kunnen komen zonder dat dat is toegestaan. Voordat de telefoon werd aangekondigd doken er al beelden op over de gezichtsherkenningsinstellingen. Daarin stond toen nog een optie om het verplicht te maken de ogen open te hebben om te ontgrendelen, maar die optie zit niet in de uiteindelijke review- en verkoopmodellen.

Google zegt tegen de BBC dat de functie tijdens de introductie van de telefoon er ook niet in zit. Op de informatiepagina over de Pixel waarschuwt het bedrijf al dat het mogelijk is voor anderen om een telefoon te ontgrendelen door die voor iemands gezicht te houden. Google zegt dat gebruikers die dat niet willen ook een pincode kunnen instellen om hun toestel te beveiligen. Ook kunnen zij de lockdown-modus inschakelen. Daarmee wordt gezichtsherkenning helemaal uitgeschakeld. Google zegt ook dat Face Unlock 'constant wordt verbeterd'.

Door Tijs Hofmans

Redacteur privacy & security

18-10-2019 • 19:11

132 Linkedin

Submitter: Mixpower

Reacties (132)

Wijzig sortering
Priceless, uit het BBC-artikel:
Speaking before the launch, Pixel product manager Sherry Lin said: "There are actually only two face [authorisation] solutions that meet the bar for being super-secure. So, you know, for payments, that level - it's ours and Apple's."

Apple blijft na twee jaren dus de enige met een degelijk en voldoende veilig face-id-systeem; wat een bak...
Face-ID was al eens bypassed ergens in 2017 met een 3D geprint gezicht, super-secure is altijd relatief ;)
Een 3D masker van die kwaliteit is ver buiten de mogelijkheden van de gemiddelde consument of de wijk agent.

Bovendien, een vinger afdrukscanner werkt ook met afgehakte vingers. Een wachtwoord of pincode is toch de veiligste manier
Bovendien, een vinger afdrukscanner werkt ook met afgehakte vingers. Een wachtwoord of pincode is toch de veiligste manier
Als iemand bereid is mijn vingers af te hakken dan is mijn wachtwoord of pincode ook niet meer veilig hoor, die zal ik dan wel afstaan...
Mee eens :9. Het was meer een voorbeeld om de schijnveiligheid van biometrische authenticatie. Gebruiksgemak staat vooral voorop namelijk.

Echter vind ik het wel kwalijk dat Google niet vereist dat je je ogen open hebt voor ontgrendeling aangezien iemand je telefoon kan pakken en semi-voor je gezicht houd hij al unlocked. Of bijvoorbeeld als je slaapt
Belangrijker is dat de(/een) overheid je fysiek kan dwingen je telefoon te ontgrendelen door je vinger op de scanner te houden of hem voor je gezicht te houden.

Ik blijf bij de pincode. Ietsdat je weet is veiliger dan iets dat je hebt.
$200 om te printen, voor 'super-secure payment level' lijkt me dat een koopje.

Doet er ook weinig toe, elke vorm is te kraken, zelfs wachtwoord of pincode kan ik met beetje martelen nog makkelijk van je ontfrutselen.

[Reactie gewijzigd door SinergyX op 18 oktober 2019 20:19]

Het printen is niet het probleem. Je hebt ook een hoge resolutie 3D foto van diegene zijn gezicht nodig. Hoe was je van plan die te verkrijgen zonder dat die persoon door heeft wat je aan het doen bent?
Dat kun je gewoon uit meerdere 2D fotos ontfutselen
Gewoon fotogrammetrie gebruiken als deze persoon slaapt? Dit kan prima met een smartphone en goeie software. Of je koopt een goeie handheld 3d scanner voor 444 euro.

[Reactie gewijzigd door RebelwaClue op 19 oktober 2019 14:58]

Zo lust ik er wel meer hahaha
Een klein halfuurtje en je ontgrendeld geheel vrijwillig je toestel......
Geef me daarna nog een kwartier en je geeft me wederom geheel vrijwillig de pincode van je bankpas.
Zodra je beseft dat de Pixel 4 ook Radar heeft ...kan je volgens mij in theorie een gezicht mappen door iemand naar je telefoon te laten kijken. Die data vervolgens gebruiken samen met een foto die tegelijkertijd gemaakt wordt om een gezicht te (3D) printen en voila.
Als je dan toch de toegang hebt tot iemands gezicht, om een 3D-scan te maken of een gipsen mal, zou er dan geen makkelijkere manier zijn ..?
Het grappige is dat in dat masker ooggaten gemaakt moesten worden omdat anders de liveness detectie zou merken dat het geen echt persoon was. Dat is bij de Pixel schijnbaar geen probleem.

Alsnog heb je hiervoor een 3D-scan van een gezicht nodig + 3D-printer etc, iemand die slaapt de telefoon even voor z’n gezicht houden is een stuk makkelijker.
Plus dat je dat scannen en printen allemaal in een bepaalde tijd moet doen voordat Face ID geblokkeerd wordt (namelijk als de telefoon langer dan 48 uur gelockt is). Die onderzoeker had toegang tot die telefoon met pincode en z'n eigen gezicht.
Wie heeft het over super-secure?
Ik heb het over voldoende veilig; dat is in de context van de hedendaagse smartphone een legitiem statement. FaceId van Apple is voor dat doel - incl bankieren en contactloos betalen - voldoende veilig voor nagenoeg iedereen.

Bij de implementatie van Google heb ik daar serieus vraagtekens bij. Wanneer je slaapt of niet oplet is er een duidelijk 'window of opertunity' voor kwaadwillenden om misbruik te maken van je smartphone. Dit heb je niet met FaceId van Apple.

En daarbij moet je serieus moeite doen voor een goedgelijkend 3D-geprint gezicht. Zie Joanna Stern haar test van FaceId: het lukt haar niet om FaceId te 'kraken' met een masker.
Helaas heeft die marketingtruc dus goed gewerkt. Het betreffende bedrijf heeft na vele vragen nooit de details willen onthullen van hoe ze dat nu precies gedaan hebben en wat precies de omstandigheden van de test waren. Nadien zijn die testresultaten ook niet meer nagebootst. Goh, zou het dus slechts een publiciteitsstunt zijn geweest van dat bedrijf? ;)
En je x-digit pin word ook bypassed als ik net toevallig de juiste cijfers gok

Dat t kan en dat t waarschijnlijk is zijn twee aparte factoren
Heb je een source? Ik wil er graag wat meer over lezen.
Good luck. Je moet al iemand zijn gezicht in 3d scannen, 3d printen, afwerken let klei, schilderen...en dan binnen 3pogingen unlocken want anders moet je alsnog de pincode ingeven.

Na verloop van tijd is Face-id nog beter geworden via updates. (Het gezicht moet ‘leven’). Dus maskers werken al even niet meer. Ook lukte de hackers enkel nadat face-id net was ingesteld, dus zonder dat het zelflerende algoritme zijn werk kon doen en de beveiliging kon opschroeven.

Het feit dat je de Pixel 4 kan unlocken met uw ogen toe maakt iemand de telefoon kan unlocken door hem gewoon voor uw neus te houden. Bij een Iphone zijn er in dat gevecht hoogst waarschijnlijk al 3mislukte inlogpogingen geweest en werkt face-id niet meer.
De Huawei Mate 20 Pro van vorig jaar heeft eenzelfde 3D gezichtsscanner als Apple. Werkt met dezelfde infrarood technieken en zou dus qua hardware even veilig moeten zijn. Bij de Huawei kan je daarnaast ook nog instellen dat je ogen open moeten zijn tijdens het ontgrendelen. Als je dit hebt ingesteld en daarna probeert te ontgrendelen met je ogen dicht, lukt je dit echt niet. Ik heb het net nog geprobeerd. Hij ontgrendelt direct zodra je je ogen weer open doet.
Dus hoezo zou Apple de enige zijn die veilig genoeg is? Als FaceID veilig genoeg is voor bankieren, dan is de gezichtontgrendeling van de Mate 20 Pro dat ook.
Wel gek dat zoekopdrachten daarover dit soort resultaten opleveren dan.
Dit, en bij Face ID was het in de meeste gevallen zelfs niet te foppen met een vrijwel identieke tweeling. Bizar hoe accuraat dat kan. Er is geen telefoon die Face ID heeft weten te benaderen.
Hier een ervaring van een eeneiige tweeling. Unlocken met face ID (iPhone 11) lukt, gaat zonder problemen. Wij lijken uiteraard wel op elkaar maar een mens zou het verschil zien.
Oh, ik heb dit juist geprobeerd met een maat van mij, is ook een eeneiige tweeling (slecht: maar ik hou ze zelf niet uit elkaar) en daar werkte het dan weer niet, maar inderdaad, er zijn succesverhalen.

Maar ach, als je alleen je broer te vrezen hebt, is het nog steeds een non-issue.
Toch is er geen telefoon die face id weet te benaderen haha
in de meeste gevallen
Het is al heel erg vaak geprobeerd, en slechts in enkele gevallen was het toereikend.

En klopt, was een identieke 3D duplicaat van iemands gezicht. Maar hoe je zoiets stiekem kunt genereren is mij een raadsel.
Ja je maakt een stel foto’s, of een hele ruwe laser scan. Als in ergens langs loop, maak je echt geen hoge kwaliteit 3D scan.

En inderdaad, als het al zou lukken, dan is de drempel nog steeds hoog, je moet dan op voorbedachte rade een masker klaar hebben liggen. Want als je m’n telefoon jat, moet je binnen 8 uren een masker hebben die van top kwaliteit is, anders worden de biometrische functies geblokkeerd.
Misschien heb jij een voor Apple moeilijk gezicht :*)
Ik heb echt nooit m'n pincode hoeven invoeren. Heel soms moet ik FaceID twee keer proberen om te unlocken, maar verder werkt het bij mij eigenlijk altijd.
In mijn geval is het een iPad Pro die ik niet zo vaak per dag unlock als een iPhone die misschien wel 80x per dag unlocked (en dat lijkt me niet eens overdreven).
Krijg dan weleens die code en vind dat bijzonder irritant.

Het verhaal van een week niet intikken zoals sommigen claimen geloof ik weinig van want volgens mij is het standaard dat je 1x per 48 uur gevraagd wordt. Of was dat alleen met Touchid ?
Ik hoef bijna nooit mijn pincode in te tikken, eigenlijk alleen voor een software update + na een restart n.a.v. deze update, heel soms als ik opnieuw inlog met iCloud, en wanneer ik iets te vaak m'n gezicht er te scheef bij hou omdat het ochtend is en ik een kater heb. Waarschijnlijk zou ie uiteindelijk mijn brakke katergezicht ook gewoon gaan herkennen als ik dat vaak zou doen, het algoritme leert namelijk ook van het gezicht dat ie ziet na het succesvol invoeren van de pincode na een gefaalde Face ID.

Kan me de afgelopen week niet herinneren dat ik 'm ingevoerd heb. De laatste keer die ik me herinner was toen een collega liep te spelen met mijn gelockte telefoon, tja na een paar gefaalde scans gaat ie op slot.

[Reactie gewijzigd door Sfynx op 19 oktober 2019 12:35]

Dat was direct na de lancering van het toestel, ze hebben het vrij snel daarna verbeterd.
De Huawei Mate 20 Pro van vorig jaar heeft eenzelfde 3D gezichtsscanner als Apple.
Onjuist.
Dat zou een serieuze inbreuk zijn op Apple's patenten. Praktisch dus ON-MO-GE-LIJK.
Het is niet alleen een stel lasers en wat infrarood, het is een compleet zelflerend algoritme (neural network) op de Apple A11(+) chipset, Secure Enclave, etc etc enz enz.
Omdat de Mate 20 ook een stel lasers en infrarood heeft wil nog niet zeggen dat de hele featureset daarvan gelijk is aan FaceId. FaceId is niet een paar off-the-shelve onderdelen en wat rekenregels, hier komen ongelofelijk véél zaken bij elkaar. Meer dan jij en ik ooit kunnen bedenken.
Werkt met dezelfde infrarood technieken en zou dus qua hardware even veilig moeten zijn.
Nee, het is niet even veilig. Al was het alleen maar om het feit dat het andere hardware en software is.
Hardware is maar één kant van de vele aspecten die hierbij komt kijken, en zelfs die is verre van gelijk.

Even 10 seconden zoeken:
Huawei Mate 20 Pro face unlock fooled by two blokes with beards and short hair.
want het is onmogelijk om een bewusteloos persoon te gebruiken om zijn telefoon te unlocken?

tenzij je wat tape hebt natuurlijk
De irisscanner van Microsoft in Windows Hello?
Mag Apple ook èrgens goed in zijn?
Als dit nou het enige was... Dan wel ja.
Maar de lijst begint hiermee beschamend lang te worden. :+ ;)
Da's niet mis, andreetje, en klinkt ook helemaal niet bevooroordeeld.
Waar kunnen we jouw onderzoek teruglezen? Ben benieuwd naar je overige analyses en gewogen conclusies.
Hihihihi, mooie troll ben jij.
CPU en GPU zijn bij de iPhone 11 bijna een generatie verder.
Camera is on-par met de allerbeste Androids, onverschillig welk merk/fabrikant je kiest.
Beeldscherm is on-par met de allerbeste Androids, onverschillig welk merk/fabrikant je kiest.
Het OS is een uitstekend alternatief voor Android.
En je verkoopt je ziel niet aan een reclameboer; Google, Facebook, etc.
Ja, Apple is absoluut gezien duurder.
Je wint nooit van fan boys, dan verkoop je namelijk altijd je ziel aan een advertentie boer..
"begrijpend lezen", okidoki.
Best vreemd dit. De optie was er eerst wel en dan wordt het verwijderd. Vervolgens is er kritiek en wordt er alsnog niets mee gedaan? Zo kan in iemands telefoon ingebroken worden terwijl hij of zij slaapt, niet echt veilig dit.
Google doet er niks aan omdat zij willen dat het toestel ontgrendeld voordat jij er een blik op moet werken. Waardoor het dus sneller is dan iPhone X/XS/11, nadeel is dat inderdaad dat mensen het kunnen gebruiken als jij je ogen dicht hebt, maar dat is een keuze die gemaakt is. Net als dat Apple de keuze maakt om wel te vereisen dat je je ogen open hebt. Het is een afweging tussen gebruiksgemak en veiligheid.
Bij de iPhone is ogen open niet voldoende. Je moet echt naar je telefoon kijken anders blijft ie locked. Dit heet aandachtsdetectie en kun je uitzetten maar dan nog moeten je ogen open zijn voor een unlock.
Dat is een van de weinige opties die je in kunt stellen. Je kunt je iPhone dus ook configureren dat je er niet naar hoeft te kijken.
Dit, en dan werkt dat zelfs nog met een zonnebril op (natuurlijk wel afhankelijk van hoe donker die zonnebril is).
Eerdere leaks https://www.androidpolice...rom-every-high-res-angle/ laten eerder vermoeden dat men het niet goed werkende kreeg... wellicht kreeg men het niet zo snel als bij de iPhone, of verhinderde het te vaak een succesvolle ontgrendeling, was er een probleem met brillen etc..

[Reactie gewijzigd door quantumleapje op 18 oktober 2019 20:01]

Zo kan in iemands telefoon ingebroken worden terwijl hij of zij slaapt.
En dat stond dus al in het artikel; "Daardoor kan de telefoon ook worden ontgrendeld bij gebruikers die bijvoorbeeld slapen".
Misschien gedaan omdat het 'problemen' geeft voor mensen met bril? Of hebben de sensoren tegenwoordig daar minder moeite mee?
Ik heb een IPhone met gezichtsherkenning en droeg deze zomer heel vaak m’n zonnebril en dat gaf nooit problemen.
Toen ik een jaar geleden voor het eerst mijn iPhone XR met gezichtsherkenning gebruikte, herkende hij mijn gezicht niet als ik een zonnebril opzette. Tot mijn verrassing werkte dat deze zomervakantie opeens wel. Ofwel de software leert een gezicht steeds beter herkennen, ofwel de software is sinds begin dit jaar aangepast voor zonnebrillen.
Normaal gesproken moet je elke zonnebril hooguit één of twee keer scannen en zal hij hem altijd herkennen. 2 jaar geleden bij het in gebruik nemen van de X heb ik al mijn zonnebrillen éénmalig gescand en daarna nooit meer nodig geweest. Zelfs de skihelm mét spiegelend vizier is al vanaf de eerste dag geen enkel probleem.
Klopt, Face ID is ook niet enkel een laser grid en wat diepte bepalen. Je telefoon leert ook van je baardgroei, bril op en af, piercing, of wat voor visuele wijzigingen je gezicht ondergaat. En als je meerdere keren per dag je telefoon ontgrendeld, kan ie onwijs veel van je gezicht leren, zo ook met stoppels tot een baard aan toe. Dus het is echt een technisch hoogstandje geworden, terwijl de toepassing relatief klein is.
Hij kán moeite hebben met gepolariseerde glazen, heb ik enkele keren gehad. Maar liever dat, dan een telefoon die bij wijze van ontgrendeld als je er een banaan voor houdt.
Klopt, maar ligt ook aan de kleur glazen. Ik heb donkergroene glazen en daar lukt het niet mee. (Zonnebril). Met bruine, donkere of andere kleuren glazen lukt het wel prima mee. Mijn vriendin heeft bruine glazen.
Ik ben een brildrager, en ik heb nooit problemen gehad. Gezichtsontgrendeling herkent me met en zonder.
"Daardoor kan de telefoon ook worden ontgrendeld bij gebruikers die bijvoorbeeld slapen, of die daartoe worden gedwongen. Volgens Google is dat de bedoeling."

Nogal rare verwoording, zo klinkt het net alsof het volgens Google de bedoeling is dat de telefoon onder dwang ontgrendeld kan worden.
En misschien is dat ook gewoon de bedoeling. Het is voor politie etc. nu een stuk eenvoudiger om een telefoon te ontgrendelen.
Was met een vingerafdruk niet heel veel lastiger ..
Wel als alleen facial recognition is gebruikt.

Daarbij, als je een scherp object in de buurt hebt heb je je vingerafdruk zo naar de klote.
Hoe dan? Een beetje telefoon vraagt na X tijd om een pincode en is biometrische controle uitgeschakeld. Daarnaast hebben zowel Android als iOS een soort van 'panic mode'. Op de iPhone is dit een paar keer snel op de aan/uit knop drukken, dan gaat ie naar het scherm waar je snel 112 kan bellen, en is direct de biometrische validatie uitgeschakeld tot de 6-cijferige pin is ingevoerd.

Dus bij een gevalletje van een inval een paar keer op een knop drukken, en de gemiddelde politie kan er helemaal niks mee.
6 cijferige pin vind ik zelf nog te min tegenwoordig. Ik heb gewoon een volwaardige code van 15 letters/getallen en symbolen. Juist omdat ik die amper in hoef te voeren. 1x per week of iets vraagt ie ernaar.
Je vind een 6 cijferige pin te min, omdat je een lange passphrase toch nooit hoeft in te voeren, waarschijnlijk omdat je vertrouwd op biometrische controle. Ietwat scheve benadering.
Of iemand die is overleden......
Gedwongen worden te slapen...
Kromme zin, maargoed gedwongen worden om een vingerafdruk te geven of gedwongen worden door iemand zijn telefoon voor zijn hoofd te houden is om het even lijkt mij.
Nou dat klinkt allemaal niet zo veilig. Wat zou de gedachte hierachter zijn.
Als je veilig wilt zijn gebruik je al geen gezichtsherkenning maar een paswoord
Een paswoord is niet per se veiliger.
Het kan bvb gemakkelijk gezien of gefilmd worden bij het intoetsen. Een combinatie van goede biometrische beveiliging (geen faceid imitaties die met een foto al te foppen zijn) en een paswoord zijn bvb ideaal.

[Reactie gewijzigd door quantumleapje op 18 oktober 2019 20:05]

Is er niet al iemand geweest die de Iphone face ID voor de gek heeft gehouden met een 3D print van een gezicht? Met beeldmateriaal kun je ook een 3D model van een gezicht maken. Ja het is omslachtiger dan met een wachtwoord, maar als iemand er echt in wilt komen dan kan dit dus alsnog omzeild worden.
Ja, men lijkt er bij de lancering van faceid in geslaagd te zijn om aan te tonen dat men met een 3D masker een telefoon met faceid kan ontgrendelen. Het vereiste echter nogal wat voorbereiding, expertise en tijd. Je kan je ook erg weinig pogingen permitteren, anders is er een paswoord nodig.

Naar verluidt zou Apple faceid ook verder beveiligd hebben. Ik ben in elk geval niet op de hoogte van recente geslaagde pogingen om faceid via een masker te omzeilen.

Over het algemeen is men er over eens dat faceid de veiligste implementatie blijft. https://www.demorgen.be/t...ne-te-misleiden~babca2d2/
Oepsie, de letter L is erin geslopen bij "FaceID imitaties".
Veranderde zodanig de betekenis dat ik het toch maar even meldde. 8-)
Ligt eraan waar de grens voor jou persoonlijk is. Iedereen bepaald voor zichzelf wat veilig "genoeg" is. Voor de een is dat alleen maar passwords. Voor de ander is het vingerafdruk of gezichtsherkenning met of zonder ogen open.
Ook de Huawei Mate 20 pro ontgrendelt wanneer je de ogen gesloten houdt.
Op dat toestel kan je ook instellen dat je ogen open moeten zijn. Stel dat maar eens in en probeer hem daarna te ontgrendelen met je ogen dicht. Lukt niet.
It’s not a bug, it’s a feature! :+
Ja want je kunt niet iemand dwingen om zijn vinger op zn telefoon te leggen? Of dat te doen als iemand bewusteloos of dood is?

Wat een non issue. Wil je het veiliger dan zet je er een beveiligingscode op. Vingerafdruk en face unlock met of zonder ogen open zijn even onveilig in dit soort situaties.

[Reactie gewijzigd door rig0r op 18 oktober 2019 20:11]

Ik had begrepen dat de vingerafdruk scanner (met fysieke aanraking) niet werkt bij een dood persoon, omdat ie dan geen statische elektriciteit van het lichaam oppikt. Zoals mijn horloge op slot zou gaan zodra ik mijn hartslag zou verliezen.
Veiliger ter bescherming tegen wie?

Politie ja, maar als je wordt beroofd dan geef je je vinger net zo goed als dat je de pincode geeft, wanneer ze dreigen je kind iets aan te doen bijvoorbeeld.

Ik denk dat ogen open of dicht in 90% van de gevallen geen verschil maakt.
Je hoeft in dit geval helemaal niets te dwingen (alleen af te wachten voor het juiste moment).
En dan ook geen fingerprint scanner.. damn lekker secure dit zeg. Mi een best grote blunder van Google, en dan ook nog eens aangeven dat men het in de toekomst niet zal veranderen :x
Zoals gewoonlijk met Pixel toestellen, altijd bijzonderheden.
Nu wachten op hardware issues.

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True