De biometrische gezichtsherkenning die laptops van onder meer Lenovo, Toshiba en Asus beveiligt, is 'gekraakt'. Vietnamese security-onderzoekers weten in te loggen op die pc’s met een foto van de eigenlijke gebruiker. Daarnaast zijn zij erin geslaagd de gezichtsherkenning te kraken met een brute force-aanval waarbij verschillende synthetische gezichten zijn gegenereerd.

Foto en trucage

De systemen Veriface III van Lenovo, SmartLogon van Asus en Face Recognition van Toshiba zijn op het hoogste beveiligingsniveau ingesteld en genept. Dit is gedaan met zowel foto’s van de daadwerkelijke gebruiker als met trucagefoto’s die zijn gemaakt om de gebruiker te simuleren.

Een kraker kan de lichtval en invalshoek van een getruceerde foto manipuleren om ervoor te zorgen dat het beveiligingssysteem het accepteert. De Vietnamese onderzoekers zeggen dat de huidige systemen voor biometrische gezichtsherkenning dus niet voldoen, maar dat ze ook niet te repareren zijn.

Black Hat

De krakers onthullen details over hun methode op de Black Hat-conferentie die komende week plaatsvindt in de Amerikaanse regeringsstad Washington D.C.. Zij geven daar ook een demonstratie van hun ‘gezichtskraak’.

Op die beveiligingsbijeenkomst worden veel meer securityzaken kritisch bekeken, ontleed en geëxploiteerd. Onder de sprekers bevinden zich DNS-beveiliger Dan Kaminsky en HD Moore, grondlegger van het Metasploit Framework. Metasploit is een ‘Zwitserse zakmes’ voor hackers en crackers, het is een open platform voor het ontwikkelen en testen van exploitcode. De makers van dergelijke tools stellen dat zij daarmee security naar een hoger plan brengen.