Getäuschte Gesichtserkennung
Forscher gaukelten einem Identifizierungssystem, wie es an Flughäfen und in anderen Hochsicherheitsszenarien vorkommt, vor, dass andere Menschen vor ihm stehen.
(Bild: Michael Aleo/Unsplash)
- Karen Hao
- Patrick Howell O'Neill
Forscher des Cybersicherheitsunternehmens McAfee haben gezeigt, dass sich ein modernes Gesichtserkennungssystem mit einem Hackerangriff dazu bringen lässt, jemand anderes zu sehen als den Menschen vor der Kamera. Dafür erstellten sie mithilfe von Maschinenlernen ein Bild, das für das menschliche Auge wie eine echte Person aussah, aber vom Gesichtserkennungsalgorithmus als jemand anderes identifiziert wurde. In einem echten Szenario entspräche das der Situation, dass ein System jemandem erlaubt, einen Flug zu besteigen, obwohl er auf der Flugverbotsliste steht.
„Wenn wir vor eine Live-Kamera treten, die Gesichtserkennung verwendet, um zu identifizieren und zu interpretieren, wen sie betrachtet, und diese mit einem Passfoto vergleicht, können wir diese Art der gezielten Fehlklassifizierung realistisch und wiederholt verursachen“, sagt der Hauptautor der Studie, Steve Povolny.
Um den Algorithmus zu täuschen, verwendeten die Forscher einen Bildübersetzungsalgorithmus namens CycleGAN, mit dem sich Fotos von einem Stil in einen anderen verwandeln lassen. Zum Beispiel kann ein Foto eines Hafens so aussehen, als wäre es von Monet gemalt worden. Oder ein im Sommer aufgenommenes Foto von Bergen sieht plötzlich winterlich aus.
Fälschungen durch Fälschungen erkennen
Traditionelle GAN (Generative Adversarial Network) bestehen aus zwei Netzwerken: einem Generator, der mit Datensätzen wie der Sommerlandschaft trainiert, um mehr Sommerlandschaften auszuspucken; und einem Diskriminator, der die erzeugten Landschaften mit demselben Datensatz vergleicht, um zu entscheiden, ob sie echt oder falsch sind. CycleGAN arbeiten mit je zwei Generatoren, Diskriminatoren und Bildersätzen, etwa Sommer- und Winterlandschaften, die man ineinander umwandeln will. Der erste Generator trainiert Bilder der Sommerlandschaften mit dem Ziel, Winterlandschaften zu erzeugen. Der zweite Generator macht es genau umgekehrt. Beide Diskriminatoren versuchen dann, die Fälschungen zu erkennen, bis die gefälschten Landschaften nicht mehr von den realen zu unterscheiden sind.
Das McAfee-Team fütterte nun 1.500 Fotos von jedem der beiden Projektleiter in ein CycleGAN-System, um sie ineinander zu verwandeln. Dann testeten sie mit einem separaten Gesichtserkennungsalgorithmus, welche der beiden Personen er in den generierten Mischbildern erkennt. Nach der Erzeugung von Hunderten von Bildern erstellte das CycleGAN schließlich ein gefälschtes Bild, das mit bloßem Auge wie Person A aussah, für die Gesichtserkennung jedoch wie Person B aussah.
Während die Studie klare Bedenken hinsichtlich der Sicherheit von Gesichtserkennungssystemen aufwirft, gibt es auch einige Vorbehalte zu ihr. Erstens hatten die Forscher keinen Zugriff auf das eigentliche System, mit dem Flughäfen Passagiere identifizieren, und verwendeten stattdessen einen hochmodernen Open-Source-Algorithmus. „Ich denke, das [Problem] wird für Angreifer am schwierigsten zu überwinden sein", sagt Povolny, „dass [sie] keinen Zugriff auf das Zielsystem haben.“ Angesichts der hohen Ähnlichkeiten zwischen Gesichtserkennungsalgorithmen hält er es jedoch für wahrscheinlich, dass der Angriff auch auf tatsächlichen Flughafensystemen funktioniert. Zweitens erfordert ein solcher Angriff heute viel Zeit und Ressourcen. CycleGANs benötigen allerdings leistungsstarke Computer und Fachwissen zum Trainieren und Ausführen.
Covid-19 wird einiges verändern
Gesichtserkennungssysteme und automatisierte Passkontrollen werden jedoch zunehmend für die Flughafensicherheit auf der ganzen Welt eingesetzt. Diese Veränderung wurde durch die Covid-19-Pandemie und den Wunsch nach berührungslosen Systemen beschleunigt. Die Technologie wird auch bereits häufig von Regierungen und Unternehmen bei der Strafverfolgung, Einstellungen und Veranstaltungssicherheit eingesetzt – obwohl viele Gruppen ein Moratorium für solche Entwicklungen gefordert und einige Städte die Technologie verboten haben.
Es gibt darüber hinaus auch andere technische Versuche, die Gesichtserkennung zu untergraben. Ein Team der Universität von Chicago hat kürzlich ein Werkzeug namens „Fawkes“ veröffentlicht, mit dem sich Gesichter tarnen lassen, indem man seine Fotos in sozialen Medien leicht verändert, um die KI-Systeme zu täuschen, die auf Datenbanken mit Milliarden solcher geschürften Bilder angewiesen sind. Forscher der KI-Firma Kneron haben auch gezeigt, wie Masken die weltweit bereits verwendeten Gesichtserkennungssysteme täuschen können.
Die McAfee-Forscher wollen nach eigener Aussage die inhärenten Schwachstellen dieser KI-Systeme aufzeigen und klarmachen, dass Menschen kontinuierlich aufpassen müssen. „KI und Gesichtserkennung sind unglaublich leistungsstarke Tools, mit denen sich Personen identifizieren und bestätigen lassen“, sagt Povolny. „Aber wenn Sie damit einfach blind ein bestehendes System ersetzen, das sich ausschließlich auf Menschen verlässt, ohne eine Art Sekundärprüfung durchzuführen, dann haben Sie plötzlich vielleicht eine größere Schwäche eingeführt.“
(vsz)
