Onderzoekers hebben een nieuwe methode ontwikkeld om biometrische authenticatiesystemen die gebruikers aan de hand van gezichtsdetectie toegang geven met behulp van openbare Facebookfoto's te omzeilen. Het onderzoek werd door onderzoekers van Universiteit van North Carolina uitgevoerd.
Tijdens de afgelopen Usenix Conferentie in Texas presenteerden ze hun werk. In het verleden zijn gezichtsherkenningssystemen en -camera's vaker met foto's omzeild. Veel systemen kijken dan ook naar eigenschappen dat het om een echt en levend iemand gaat. Om ook dit soort systemen voor de gek te houden gebruikten de onderzoekers foto's van sociale media om via een virtual reality (VR) systeem een realistisch 3D-gezichtsmodel te maken.
Via dit vr-systeem is het mogelijk om bijvoorbeeld het gezicht te laten bewegen, zoals het optrekken van de wenkbrauwen of lachen. Daardoor denken ook systemen die naar de "levendigheid" kijken dat het 3D-model een echt menselijk gezicht is. Dit 3D-model wordt op het scherm van het VR-apparaat getoond. Voor een biometrisch authenticatiesysteem komen de diepte en bewegingen van het scherm overeen met die van een menselijk gezicht. Voor het onderzoek werd er met foto's van social media en controlefoto's gewerkt. De controlefoto's wisten alle vijf de geteste systemen, KeyLemon, Mobius, True Key, BioID en 1U App, te omzeilen. Met de social mediafoto's werd een succes van tussen de 55% en 85% gehaald.
Volgens de onderzoekers gaat het hier om een geheel nieuwe op VR-gebaseerde spoofingaanval die ernstige problemen in camera-gebaseerde authenticatiesystemen blootlegt. "Het is zeer onwaarschijnlijk dat robuuste gezichtsherkenningssystemen alleen aan de hand van camera-invoer kunnen opereren. Gegeven de wijdverbreide aard van hoge resolutie foto's op internet beschikken aanvallers over een goudmijn aan informatie voor het maken van valse gezichtsdata." De onderzoekers stellen dat er dan ook andere bronnen van verifieerbare data moeten worden gebruikt, zoals willekeurige lichtweergave en kleine verschillen in de huidskleur.
Deze posting is gelocked. Reageren is niet meer mogelijk.