Kürzlich haben Diskussionen in chinesischen sozialen Medien über „Selfie-Gesten, bei denen Fingerabdrücke verloren gehen“ erneut öffentliche Bedenken hinsichtlich der biometrischen Sicherheit ausgelöst. Experten erinnern daran, dass Hacker angesichts der immer besser werdenden Auflösung und der Algorithmenfähigkeiten von Mobiltelefonkameras theoretisch ausreichend klare Fingerabdruckmuster aus gewöhnlichen Fotos extrahieren und diese zur Fälschung von Fingerabdrücken verwenden können, um Mobiltelefone, Computer und Systeme wie Zahlungen und Kontoanmeldung anzugreifen.
Berichten zufolge wiesen einige Experten darauf hin, dass es möglich sei, genügend Details zu erfassen, um den Fingerabdruck zu rekonstruieren, wenn der Finger auf dem Foto in die Kamera zeigt und die Aufnahmeentfernung innerhalb von etwa 1,5 Metern (etwa fünf Fuß) liegt. Auf dieser Grundlage haben Angreifer durch die Kombination von Bildbearbeitungssoftware und Tools für künstliche Intelligenz zur Schärfung und Verbesserung von Fingerabdruckkanten die Möglichkeit, „falsche Fingerabdrücke“ zu erstellen, die einige Fingerabdruckerkennungsgeräte täuschen können. Jing Jiwu, Professor an der Universität der Chinesischen Akademie der Wissenschaften, betonte, dass Faktoren wie Licht, Fokus und Bewegungsunschärfe die Erfolgsquote der Identifizierung beeinflussen, hochauflösende Bilder oder Überlagerungsberechnungen mehrerer Fotos jedoch die Wahrscheinlichkeit, verwertbare Fingerabdruckdaten zu erhalten, erheblich erhöhen können.
Ein direkter Grund dafür, dass die Diskussion in China und Asien schnell an Fahrt gewinnt, ist das häufige Auftauchen von „Scherenhänden“ (V-förmige Geste) in Selfies. Durch diese Geste wird häufig die Fingerabdruckoberfläche direkt vor der Kamera freigelegt. Wenn die Qualität der Aufnahmeausrüstung gut genug ist und die Fotos nicht übermäßig komprimiert sind, können sie Rohmaterial für die Fingerabdruckextraktion liefern.
Tatsächlich ist das Konzept des „Stehlens von Fingerabdrücken aus Fotos“ nicht neu. Bereits vor mehr als zehn Jahren hatten Sicherheitsforscher die Machbarkeit ähnlicher Angriffe nachgewiesen. Aufgrund der damaligen Einschränkungen der Fotoausrüstung und der Bildverarbeitungstechnologie hatte dieser Angriff für die meisten Hacker jedoch noch keinen praktischen Nutzen. Da die Hardware der Smartphone-Kameras immer weiter verbessert wird und die Algorithmen der Computerfotografie ausgereifter werden, ist es einfacher geworden, Fotos mit klaren Fingerabdruckdetails in realen Umgebungen aufzunehmen, wodurch die Schwelle für solche Angriffe schrittweise gesenkt wird.
In einem früheren Fall, der in der Branche Aufsehen erregte, gelang es Jan Krissler, einem deutschen Biometrieforscher und Mitglied des Chaos Computer Clubs, das Fingerabdrucksystem Touch ID von Apple kurz nach seiner Einführung erfolgreich zu umgehen. Anschließend demonstrierte er anhand eines öffentlichen Fotos der Hand des deutschen Verteidigungsministers, dass es möglich sei, seine Fingerabdrücke anhand öffentlicher Fotos zu rekonstruieren. Zu dieser Zeit erforderten solche Angriffe jedoch typischerweise mehrere hochauflösende Bilder, streng kontrollierte Aufnahmebedingungen und spezielle Verarbeitungsverfahren, sodass ihre Praktikabilität begrenzt war.
Da die Toolketten in den letzten Jahren immer weiter vereinfacht wurden, sind die Angriffswege intuitiver und kostengünstiger geworden. Im Jahr 2021 demonstrierten Forscher der Kraken Security Labs eine Möglichkeit, einen verwendbaren gefälschten Fingerabdruck zu erstellen, um einige Fingerabdruckerkennungssysteme auszutricksen, indem sie nur ein Foto eines Fingerabdrucks, Photoshop, einen Laserdrucker und Holzbearbeitungskleber verwendeten. Die Forschungsgemeinschaft hat auch Fingerabdruck-Authentifizierungssysteme auf Softwareebene geknackt, und die Polizei hat auch Präzedenzfälle genutzt, um Handfotos von Verdächtigen mit Fingerabdruckdatenbanken abzugleichen, um Identitäten zu sperren und Verhaftungen vorzunehmen.
Obwohl diese Art von Risiko von Wissenschaft und Industrie ständig erwähnt wird, wird die Fingerabdruckerkennung immer noch häufig auf Laptops, Tablets und vielen Android-Smartphones eingesetzt. Der Hauptgrund liegt im Kompromiss zwischen Komfort und Sicherheit: Im Vergleich zu Passwörtern senken Fingerabdrücke und andere biometrische Daten die Bedienschwelle im täglichen Gebrauch deutlich und bieten dennoch einen gewissen Schutz vor zufälligem Diebstahl oder unbefugtem Zugriff. Da Selfies und hochauflösende Bilder jedoch auf sozialen Plattformen allgegenwärtig werden, ist die Frage, wie die unbeabsichtigte Offenlegung persönlicher biometrischer Daten minimiert und gleichzeitig der Komfort gewahrt bleiben kann, zu einer dringenden neuen Frage im Bereich Datenschutz und Sicherheit geworden.