Hackers omzeilen gezichtsherkenning met behulp van een aantal Facebook-foto’s

Het gebruik van biometrische data om in te loggen en onze gegevens af te schermen is al jaren bezig aan een opmars. De vingerafdrukscanner is het meest gebruikte voorbeeld en ook Samsung is aan de haal gegaan met de irisscanner, waardoor je je telefoon met je oog kunt ontgrendelen. En in sommige apps en besturingssystemen kun je je gezicht gebruiken om in te loggen.

Onderzoekers van de University of North Carolina zijn erin geslaagd om een 3D-model te maken van foto’s op sociale profielen, dat vervolgens gebruik kan worden om in te loggen met behulp van gezichtsherkenning, schrijft Wired. Bij gezichtsherkenning zoekt de camera naar diepte in het beeld dat hij te zien krijgt. Met een 3D-model kan de camera dus misleid worden.

Werkwijze

De wetenschappers maakten daarbij gebruik van de foto’s die in veel gevallen gewoon openbaar te vinden zijn, namelijk via sociale media als Facebook, LinkedIn en Google+. De onderzoekers vonden voor elke (vrijwillige) deelnemer van het onderzoek 3 tot 27 foto’s, waarvan sommige deelnemers zich naar eigen zeggen vrij bewust zouden zijn van hun eigen privacy. De deelnemers werd gevraagd een vijf verschillende apps te vergrendelen met hun eigen gezicht. Vervolgens wisten de onderzoekers vier apps in meer dan de helft van de gevallen met succes te ontgrendelen met de 3D-modellen die met de foto’s waren gemaakt. In sommige gevallen was de slagingskans zelfs 85 procent.

Het onderzoek geeft een belangrijk lek aan in het inloggen met biometrische data. Een wachtwoord op pincode kun je namelijk makkelijk vervangen, maar een nieuw gezicht aanvragen is wat minder praktisch. Bovendien is het verstandig om met dit in je achterhoofd beter om twee keer na te denken als je foto’s van jezelf – of een ander – zomaar online. Het zou in de toekomst zomaar heel erg kwaad kunnen.

Een mogelijke oplossing voor het probleem dat de onderzoekers aankaarten is er trouwens wel: het gebruik van een camera die met behulp van meerdere lenzen of andere sensoren diepte kan waarnemen. Daarbij kun je bijvoorbeeld denken aan Intel RealSense of de dubbele camara’s die je in steeds meer smartphone ziet. Er is geen garantie dat dat zorgt voor een waterdichte beveiliging, maar deze techniek is in ieder geval lastiger voor de gek te houden.