De gezichtsherkenning die in sommige notebooks van Lenovo, Asus en Toshiba gebruikt wordt voor authenticatie, is te kraken. Dat demonstreert een Vietnamese onderzoeker vandaag op beveiligingsconferentie Black Hat in Washington.
Een Vietnamese onderzoekersgroep zegt het gezichtsherkenning-mechanisme van moderne Lenovo-, Asus- en Toshibalaptops te kunnen misleiden. Dat demonstreert hoofdonderzoeker Duc Nguyen vandaag op beveiligingsconferentie Black Hat in Washington.
De onderzoekers kraakten de authenticatie niet alleen door het systeem een foto voor te houden van de rechtmatige gebruiker, maar ook met foto's van willekeurige nep-gezichten. In dat laatste geval genereerden de onderzoekers een grote hoeveelheid foto's van nepgezichten, vanuit allerlei gezichtshoeken en met verschillende vormen van belichting. Via een ‘Fake Face Bruteforce'-aanval werd het systeem uiteindelijk misleid. Volgens de onderzoekers is het maken van een hele reeks verschillende nepgezichten een fluitje van een cent met moderne beeldbewerkingsprogramma's.
‘Functie moet uitgeschakeld’
Lenovo, Asus en Toshiba zijn de eerste grote computerleveranciers die gezichtsherkenning standaard inbouwen in laptops als authenticatiemechanisme. De ingebouwde webcams van deze laptops maken gezichtsopnames van de gebruiker voor authenticatie. Dat is gebruiksvriendelijker vorm van biometrie dan het afnemen van vingerafdrukken, en zou veiliger zijn dan het gebruik van wachtwoorden.
Duc Nguyen van het Bach Khoa Internetwork Security Center (BKIS) van de University of Technology in Hanoi: "Mijn onderzoek toont aan dat het mechanisme dat door deze leveranciers wordt gebruikt niet voldoet aan de beveiligingseisen die een authenticatiesysteem nodig heeft. De gebruikte mechanismen kunnen gebruikers niet beschermen tegen vervalsingen."
Volgens Duc is het niet mogelijk de kwetsbaarheid te repareren. Hij vindt dat de fabrikanten de functie uit al hun laptopmodellen moeten verwijderen. Ze moeten bovendien alle gebruikers van deze vorm van beveiliging adviseren deze niet meer te gebruiken.
Zo veilig zijn dit soort dingen inderdaad niet. Hetzelfde is/was met de vingerprintscanners die bijv. op een HP laptop zitten. Ik heb wel eens een scan en daarna een printje gemaakt van mijn vingerafdruk. Vervolgens die over de sensor gehaald… voila, unlocked…