Forscher zeigen, wie sie Gesichtserkennung austricksen
McAfee-Forscher haben es geschafft, gängige Gesichtserkennungssysteme, die zum Beispiel auf Flughäfen zum Einsatz kommen, auszutricksen. Dabei wird dem System ein Passbild gezeigt, das in Wahrheit ein Mashup aus zwei Personen ist und damit ein Fake-Bild. Das Bild wird mithilfe einer Software und Machine Learning aus Passfotos von zwei verschiedenen Personen erstellt. Vergleicht die Software das Passbild nun mit dem Menschen, der live vor ihm steht, bekommt er das „Go“ und darf passieren, weil das Foto-Mashup so realistisch ist, dass sie den Irrtum nicht erkennt. Damit könnten etwa Personen, nach denen gefahndet wird, oder die auf einer Flugverbotsliste stehen, dennoch ins Flugzeug gelangen.
Steve Povolny von McAfee beschreibt in einem Blogeintrag, wie die Art der gezielten Fehlklassifizierung genau zustande kommt. Um die Software zu täuschen wird der Bildübersetzungsalgorithmus CycleGAN verwendet, mit dem sich Fotos verwandeln lassen. Povolny hat das System mit 1500 Fotos von sich und seinem Projektpartner gefüttert und dann ausprobiert, ob das System die Mischbilder als Fälschung erkennt. Die beiden erzeugten Hunderte von Bildern und schließlich hielt das System ein gefälschtes Bild für seinen Projektpartner, obwohl es wie er selbst aussah.
Nicht am Flughafen erprobt
Wie gut dieser Trick in der Praxis funktioniert, ist allerdings unklar, denn die Forscher haben davon Abstand genommen, es mit auf Flughäfen gängigen Gesichtserkennungssystemen zu testen. Das wäre - ohne die Behörden darüber zu informieren - Betrug. Damit dieser Abgleich klappt, muss außerdem auch das Foto der zweiten Person im Zielsystem der Behörden eingetragen sein, damit es erkannt werden kann. Auf die Gesichtserkennungsdatenbank gibt es normalerweise keinen einfachen Zugriff. Ergo: Ein Angriff dieser Art würde viel Zeit und Ressourcen mit sich bringen.
Derzeit kommen allerdings immer mehr Gesichtserkennungssysteme auf Flughäfen zum Einsatz – wegen Covid-19. Povolny und sein Projektpartner warnen davor, sich blind auf derartige Gesichtserkennungssysteme zu verlassen. Eine Sekundärprüfung durch Menschen sei weiterhin erforderlich, heißt es.