Hopp til navigasjon Hopp til innhold

Hackere kan lure ansiktsgjenkjenning med et VR-headset og bilder fra Facebook

Forskere laget 3D VR-modeller av 20 personer basert på offentlig tilgjengelige bilder.

Det introduseres stadig flere nye måter å sikre våre bærbare enheter med en form for biometri. Fingeravtrykk og iris-skannere er bare to eksempler på slik teknologi.

Nye teknologier, nye svakheter
Ansiktsgjenkjenning er hverken ny eller spesielt sikker, og det har blitt påpekt nok en gang denne måneden under den årlige USENIX konferansen. USENIX er en konferanse hvor forskere fremlegger sine funn innenfor informasjonssikkerhet for offentligheten, og denne gangen omhandler det altså ansiktsgjenkjenning.

For å sikre at en angriper kan låse opp telefonen din kun ved å holde et bilde av eierens ansikt foran kameraet så har man implementert måter å kjenne igjen bevegelse og ansiktstrekk. På denne måten kan man skille mellom et todimensjonalt bilde eller en video og et faktisk ansikt.

Virtuell virkelighet
I en studie (PDF) som ble presentert på USENIX så hadde en gruppe forskere klart å komme seg rundt ansiktsgjenkjenning ved å bruke en virtuell modell av en persons hode, den virtuelle modellen var gjenskapt ved å ta en håndfull bilder fra sosiale medier.

Ved å lage et kart basert på fargebilder av brukeren kan en 3D modell lages.
Ved å lage et kart basert på fargebilder av brukeren kan en 3D modell lages.

Forskerene bak studien viste at det er mulig å lure denne typen systemer ved å skape en virtuell modell laget av høyoppløste bilder av enhetens eier. De gjorde dette ved å koble sensoren til et VR-headset og laste inn 3D modellen av ansiktet.

Fordelen med denne tilnærmingen er at alle bevegelser spores av sensorer i hodesettet, og gir flere muligheter. Blant annet kunne forskerene manipulere 3D modellen til å smile eller å heve et øyebryn.

Dette er handlinger som ofte brukes av denne typen biometriske systemer for å verifisere bevegelse og at det ikke er snakk om ett opptak eller statisk bilde.

Fem systemer testet
Alle fem systemene som ble testet ble lurt av 3D modellen bygget på høyoppløste bilder. Bilder med lavere oppløsning hentet fra sosiale medier ble også testet og gruppen klarte å lure alle unntatt ett av systemene med disse bildene.

IR er mer sikkert
Microsofts Windows Hello system ble lansert som en mer personlig måte å logge inn på Windows 10 enheter. Blant metodene du kan benytte er passord, pin, fingeravtrykk, iris og ansiktsgjenkjenning. Windows Hello støtter Intels RealSense IR-baserte teknologi.

Dette gir en langt høyere grad av sikkerhet enn dagens farge-baserte systemer. Metodikken som ble brukt for å lure de fem systemene i denne studien ville ikke klart å lure en IR-basert løsning.

Mer data
I studien skriver gruppen bak at «Vi argumenterer for at denne typen VR-baserte spoofing angrep konstituerer en fundamentalt ny type angrep som peker på en alvorlig svakhet i kamera-basert autentisering: Om de ikke inkorporerer andre kilder av data som kan verifiseres, så vil systemer som er avhengige av fargebilder og kamera bevegelse være sårbare for angrep via VR.».

De foreslår videre at et robust system for ansiktsgjenkjenning kommer til å måtte inkludere en eller annen type ikke-offentlig bildedata av brukeren, eksempelvis et varmekart.

Kilde:
Motherboard

 

 

 

Stikkord: sikkerhet