Bei Default Android Gesichtsentsperrung ist es wirklich nur ein Bildabgleich. Also quasi bei Entsperrung wird ein Foto von dir gemacht, mit irgendeinem algorythmus das Gesicht gelesen und das mit den in der Datenbank hinterlegten Gesicht verglichen.
Hier gibt es je nach Hersteller noch besseren oder schlechtere Algorythmus (z.b Erkennung Augen offen oder zu, entsperrung nur bei offenen augen).
Aber da es nur ein Fotovergleich ist, kann man eben auch ein Foto vor die Kamera halten und damit entsperren. (Bzw daraus generierte Hash-Werte).
FaceID nutzt einen Infrarot- Punkte Generator (das ist der Grund warum es die Notch gibt und das sie so gross ist). Da wird quasi dein Gesicht mit 30000 Infrarotpunkten abgetastet und ein 3-Diemensionales Bild davon gemacht.
Daher es wird kein Foto verglichen sondern wirklich die Gesichtsstruktur mit allen Tiefeninformationen.
Wie gesagt Huaweii hat ebenfalls Smartphone auf dem Markt die das können. Z. B. Das Huaweii Mate 20 Pro - ebenfalls mit Infrarot und Notch.
Windows Hello macht es ebenfalls über Infrarot - entsprechende Business Notebooks die das unterstützen haben dazu Infrarotsensoren neben der Kamera.
Was auch der Grund ist warum bei Windows Hello, Apple FaceID und dem Huaweii Ding die Gesichtsentsperrung problemlos bei absoluter Dunkelheit funktioniert. Infrarot braucht im Gegensatz zur Kamera kein Licht für seinen Job.
Denke dein Alternatives Smartphone OS macht es ähnlich wie Windows. Wenn es kein IR gibt lieber nicht anbieten als etwas anbieten das das den Nutzern falsche Sicherheit verspricht.
Und ja die Daten werden im TPM (Windows), Secure Enclave (Apple), und wieauchimmer (bei Android ist der Name des Chips je nach Hersteller unterschiedlich) gespeichert.
Die Idee dieses extra Chips (ich nenne es einfach TPM) ist immer die gleiche. Die Daten sind nur dort verfügbar. Die Daten verlassen das Gerät nicht. Der Chip kann nur von dem Gerät ausgelesen werden mit dem es verbaut wurde - Chip in anderes Gerät stecken macht ihn funktionsunfähig.
Das ganze macht natürlich nur Sinn wenn der Bootprozess abgesichert ist. Also keine Schadware den Computer booten und das den TPM aualesen kann. Deswegen macht Nutzung von TPM nur in Kombination mit Secure Boot Sinn.
Zeigt ja auch Ubuntu die ja jetzt mit der 23.10 anbieten, das Geheimnis für Partitionsverschlüsselung im TPM zu speichern - das funktioniert nur wenn Secure Boot aktiviert ist.