Onderzoekers omzeilen gezichtsdetectie met Facebookfoto's
Onderzoekers hebben een nieuwe methode ontwikkeld om biometrische authenticatiesystemen die gebruikers aan de hand van gezichtsdetectie toegang geven met behulp van openbare Facebookfoto's te omzeilen. Het onderzoek werd door onderzoekers van Universiteit van North Carolina uitgevoerd.
Tijdens de afgelopen Usenix Conferentie in Texas presenteerden ze hun werk. In het verleden zijn gezichtsherkenningssystemen en -camera's vaker met foto's omzeild. Veel systemen kijken dan ook naar eigenschappen dat het om een echt en levend iemand gaat. Om ook dit soort systemen voor de gek te houden gebruikten de onderzoekers foto's van sociale media om via een virtual reality (VR) systeem een realistisch 3D-gezichtsmodel te maken.
Via dit vr-systeem is het mogelijk om bijvoorbeeld het gezicht te laten bewegen, zoals het optrekken van de wenkbrauwen of lachen. Daardoor denken ook systemen die naar de "levendigheid" kijken dat het 3D-model een echt menselijk gezicht is. Dit 3D-model wordt op het scherm van het VR-apparaat getoond. Voor een biometrisch authenticatiesysteem komen de diepte en bewegingen van het scherm overeen met die van een menselijk gezicht. Voor het onderzoek werd er met foto's van social media en controlefoto's gewerkt. De controlefoto's wisten alle vijf de geteste systemen, KeyLemon, Mobius, True Key, BioID en 1U App, te omzeilen. Met de social mediafoto's werd een succes van tussen de 55% en 85% gehaald.
Volgens de onderzoekers gaat het hier om een geheel nieuwe op VR-gebaseerde spoofingaanval die ernstige problemen in camera-gebaseerde authenticatiesystemen blootlegt. "Het is zeer onwaarschijnlijk dat robuuste gezichtsherkenningssystemen alleen aan de hand van camera-invoer kunnen opereren. Gegeven de wijdverbreide aard van hoge resolutie foto's op internet beschikken aanvallers over een goudmijn aan informatie voor het maken van valse gezichtsdata." De onderzoekers stellen dat er dan ook andere bronnen van verifieerbare data moeten worden gebruikt, zoals willekeurige lichtweergave en kleine verschillen in de huidskleur.
Ik zou in elk geval verwachten dat serieuze aanbieders van camera-gebaseerde authenticatiesystemen tegenwoordig al lang ook hitte camera's en andere failsaves gebruiken.
Wat zouden de kosten van spoofing (namaken) tov het te verwachten rendement zijn? Vermoedelijk is een password veel slechter af. Je kan altijd voor combinaties gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.