Исследование: для разблокировки по лицу на Android-смартфонах можно применять фото

Тесты в лабораториях Which выявили, что функцию блокировки по лицу во многих современных смартфонах можно обойти, используя лишь фотографию владельца. 

С октября 2022 года исследователи протестировали 208 телефонов, и в 64% случаев (133 устройства) биометрическую разблокировку по лицу удалось обойти с помощью фотографии, напечатанной на 2D-принтере. Задача достигла пика в 2024 году, когда доля таких смартфонов подскочила на 35% по сравнению с 2023-м. Тогда этот метрика вырос до 72%.

Исследователи тестировали следующие бренды: Asus, Fairphone, Honor, HMD, Motorola, Nokia, Nothing, OnePlus, Oppo, Realme, Samsung, Vivo и Xiaomi.

В 2025 году они отметили небольшое улучшение на 13% относительно предыдущим годом (до 63%).

Отмечается, что большинство телефонов Android — особенно бюджетные и модели среднего ценового сегмента — используют стандартную систему распознавания лиц в 2D-формате. По существу, она использует камеру для получения плоского изображения человека. В связи с отсутствия глубины система часто не может отличить живого человека от фотографии или кого-то похожего.

Тем не менее последние лабораторные тесты показывают, что некоторые производители добиваются ощутимого прогресса. Так, новая серия Samsung Galaxy S26 успешно прошла раунд тестов на подмену личности. Тем не менее линейка Galaxy S25 их не прошла.

Систему Face ID от Apple и 3D-системы, используемые в моделях Pro от таких брендов, как Honor, равным образом гораздо сложнее обмануть. Они используют сложное 3D-картирование, проецирующее тысячи невидимых точек для создания карты глубины лица.

А последние флагманские телефоны Google (Pixel 8, 9 и 10) представляют собой своего рода исключение. Они используют 2D-систему, но ту, которая значительно более безопасна. Google применяет передовые методы машинного обучения, чтобы гарантировать соответствие телефонов высоким стандартам безопасности для банковских операций и платежей. 

Отмечается, что с 2023 года несколько производителей улучшили свою работу. Например, Xiaomi позаботилась о том, чтобы указать на риски безопасности 2D-фотографий на 26 отдельных уязвимых устройствах. Samsung также предоставляла предварительные предупреждения на девяти устройствах за последние три года. Между тем Motorola и OnePlus выпустили 27 моделей телефонов с октября 2022 года, на которых можно легко обойти разблокировку по лицу.

Даже новые бренды на рынке попадают в ту же ловушку. В частности, организация Nothing не предоставила своим клиентам адекватного предупреждения на всех пяти устройствах, которые исследователи тестировали в нашей лаборатории с 2024 года. 

Авторы работы обратились к производителям затронутых моделей телефонов с требованием повышения стандартов и большей прозрачности. Некоторые ответили, указав на свои датчики отпечатков пальцев как на «главный» способ защиты.

Вот список смартфонов, не соответствующих требованиям:

• Fairphone 6;

• Honor Magic6 Lite 5G;

• Motorola Moto G75 5G, Motorola Edge 60 Pro, Motorola Edge 60 fusion, Motorola Moto G56 5G, Motorola G86, Motorola Edge 40 Neo, Motorola Moto g35, Motorola Moto g55, Motorola Razr 50 Ultra, Motorola Edge 50 Ultra, Motorola Edge 50 Pro, Motorola Moto G73;

• Nothing Phone (2a) Plus, Nothing Phone (3a), Nothing Phone (3a) Pro, Nothing Phone (3), Nothing Phone (2a);

• OnePlus 13R, OnePlus 13, OnePlus Nord 5, OnePlus Nord CE5, OnePlus 15, OnePlus Nord 3 5G;

• Oppo Reno 13 F, Oppo Reno 13 Pro, Oppo Find X9 Pro, Oppo Find X9, Oppo Reno 11 F 5G.

Чтобы повысить защита устройства, можно предпринять несколько шагов для усиления защиты:

• переключиться на разблокировку по отпечатку пальца или PIN-коду;

• инсталлировать PIN-код SIM-карты;

• применять функцию «Блокировка приложений», чтобы требовать отпечаток пальца специально для мессенджеров, электронной почты или фотогалереи.

Организация Fairphone сообщила, что защита и конфиденциальность являются основой её дизайна, но отметила, что устройства используют 2D-распознавание лиц, относящееся к биометрическому классу 1 (класс 1 — это отраслевой стандарт «удобства», который не соответствует гораздо более строгим порогам безопасности). Fairphone указала, что из-за этого сама система Android автоматически блокирует использование функции в финансовых приложениях. 

Honor объяснила, что 2D-системы имеют технические ограничения, которые могут сделать их уязвимыми для обмана с помощью фотографий, видео или силиконовых масок. Из-за этого она рассматривает функцию как средство для удобства, а не для авторизации конфиденциальных транзакций. Для тех, кому необходима первоклассная безопасность, в частности, для банковских операций, Honor рекомендует свои флагманские модели Pro.

Motorola заявляет, что защита потребителей является для неё приоритетом, но признаёт, что техника разблокировки по лицу разработана в первую очередь для удобства разблокировки телефона. Компания рекомендует применять PIN-код, пароль или графический ключ для лучшей защиты.

OnePlus утверждает, что уже обеспечивает прозрачность в отношении этих рисков. Организация указала на обязательное «Заявление об использовании распознавания лиц», которое каждый потребитель должен прочитать, прежде чем активировать опцию. В этом уведомлении владельцам сообщается, что технология менее безопасна, чем отпечаток пальца или цифровой пароль.