Systemen voor gezichtsherkenning gekraakt met behulp van online foto’s

hacker-nikolaus-wogen

Biometrie wordt vaak gezien als een veelbelovende beveiligingstechnologie. In de praktijk blijken hedendaagse biometrische beveiligingssystemen echter om de tuin te kunnen worden geleid. Onderzoekers zijn erin geslaagd de systemen te omzeilen door 3D-modellen te creëren van gezichten op basis van foto’s die zijn gedownload van sociale netwerken zoals Facebook te downloaden.

Dit meldt Wired. Onderzoekers van de Universiteit van North Carolina demonstreerden onlangs op de Usenix security conferentie hoe zij met behulp van 3D-modellen van gezichten biometrische beveiligingssystemen kunnen omzeilen. De 3D-modellen die zij hiervoor gebruiken zijn gebaseerd op foto’s die afkomstig zijn van sociale netwerken en dus door iedere aanvaller kunnen worden gevonden.

3D-modellen

Voor hun onderzoek hebben de onderzoekers 3D-modellen ontwikkeld voor twintig vrijwilligers. Ondanks dat de meeste van deze vrijwilligers aangaven veel aandacht te besteden aan hun online privacy konden de onderzoekers van iedere vrijwilliger op sociale netwerken tussen de 3 en 27 foto’s vinden.

Met behulp van deze foto’s hebben de onderzoekers 3D-modellen van de gezichten van de vrijwilligers gebouwd. Hieraan zijn vervolgens animaties toegevoegd om het gezicht te laten bewegen, en is de oriëntatie van de ogen aangepast zodat de persoon op de foto recht in de camera kijkt. Indien op foto’s een deel van het gezicht ontbrak hebben de onderzoekers dit gezicht zoveel mogelijk nagebouwd.

Veel authentificatie-apps zijn kewtsbaar

Voor mobiele apparaten zijn via de App Store en Google Play Store een groot aantal authentificatie-apps beschikbaar waarmee gebruikers zichzelf via biometrie kunnen identificeren. De onderzoekers hebben hun 3D-modellen losgelaten op Mobius, KeyLemon, TrueKey, BioID en 1D getest. Uit deze proef bleek dat vier op de vijf van deze apps om de tuin kon worden geleid met behulp van de modellen. Hierbij behaalden de onderzoekers een succesratio van 55% tot 85%. Nadat de onderzoekers van alle proefpersonen portretfoto’s maakten wisten zij zelfs alle vijf de systemen te manipuleren.

De onderzoekers stellen dan ook dat huidige systemen voor gezichtsherkenning onvoldoende veiligheid bieden. De systemen zouden beter in staat moeten kunnen zijn valse foto’s te herkennen. Dit kan onder andere door de systemen lage resolutie foto’s te laten weigeren, iets wat kan worden opgevangen door de beschikbaarheid van goede en kwalitatief goede vision technologieën. Daarnaast zijn meer maatregelen nodig om de veiligheid van dergelijke systemen te kunnen garanderen. Zo zouden systemen kunnen zoeken naar kleine fluctuaties in de kleur van de huid en verstoringen in lichtpatronen.