Viele von euch kennen wahrscheinlich mindestens einen Film, in dem Bösewichte einen Irisscanner überlisten, indem sie ein vorher entferntes Auge vor den Sensor halten. Im Film „Demolition Man – Ein eiskalter Bulle“ von 1993 kann so beispielsweise der Bösewicht Phoenix aus dem Gefängnis entkommen.
Das führt zwangsläufig zu der Frage, ob es überhaupt möglich ist, dass ein Scanner den Unterschied zwischen einer lebenden und einer toten Iris erkennen kann.
Eine Antwort darauf gaben nun Mateusz Trokielewicz und seine Kollegen von der technischen Universität in Polen. Dazu erstellten die Wissenschaftler eine Datenbank und fütterten diese mit Daten von Irisscans, die im Vorhinein von Lebenden und Toten aufgenommen wurden. Anschließend nutzten Sie die Aufnahmen, um einen lernfähigen Algorithmus zu trainieren.
Letztendlich schaffte es der Algorithmus in 99 % der Fälle eine tote Iris von einer Lebenden zu unterscheiden. Die Ergebnisse brachten aber auch hervor, wie Kriminelle dieses System überlisten können.
Weiterlesen
#S8irishack: CCC entsperrt Galaxy S8 mit Foto
Zunächst aber ein paar Hintergrundinformationen. Das Prinzip die Iris als Merkmal zum Entsperren von Sicherheitssystemen zu verwenden hat einen ganz bestimmten Grund. Augenärzte haben bereits vor langer Zeit festgestellt, dass jedes Auge eine einzigartige, komplizierte Struktur aufweist. Diese Struktur wird insbesondere bei Infrarot-Irisbildern sichtbar und wird daher in dieser Form häufig genutzt.
Aber das System ist trotzdem nicht perfekt. Erst im letzten Jahr haben Hacker es geschafft ein Samsung Smartphone mit Irisscanner zu überlisten, indem diese ein Bild der Iris des Besitzers auf eine Kontaktlinse gedruckt haben. Die Kontaktlinse wurde dann lediglich auf ein falsches Auge aufgesetzt.
Zusätzlich gibt es ja noch den etwas brutaleren Weg aus „Demolition Man“. Gerade hier hat sich bis heute noch niemand Gedanken darüber gemacht, wie solche Täuschungsversuche unterbunden werden können.
Für ihre Forschung konnten die Wissenschaftler auf 574 Infrarot-Iris-Aufnahmen von 17 Personen zurückgreifen, die zu unterschiedlichen Zeiten (vor 5 Stunden – 34 Tagen) gestorben sind. Zusätzlich hat das Team 256 Bilder von lebenden Iris aufgenommen. Dabei wurde besonders der Fokus auf die Verwendung der gleichen Kamera gelegt, damit die Bilder nicht je nach Kameratyp variieren. Zusätzlich wurden die Aufnahmen auf offensichtliche Verzerrungen geprüft, da sich je nach Fotograf verschiedene Attribute (bspw. Kamerawinkel und Zoom) unterscheiden können.
Einen für das bloße Auge erkennbaren Unterschied gibt es aber trotzdem zwischen einer Iris von einem lebenden Menschen und der eines Toten. Das liegt daran, dass die Augenlieder von Leichen dauerhaft mit Metallklemmen offengehalten werden. Um es dem Algorithmus also etwas schwieriger zu machen, wurden die Bilder auf die eigentliche Iris zugeschnitten.
Das stetige Training führte letztendlich dazu, dass der Computer eine tote Iris immer als tot klassifizieren kann. Lediglich bei einer von 100 lebenden Personen kann es vorkommen, dass die Maschine eine Fehlentscheidung trifft (Der Lebende wird als tot abgestempelt).
Eine Einschränkung gibt es aber dabei. Diese Genauigkeit kann nur erzielt werden, wenn die Iris mindestens 16 Stunden tot ist. Trokielewicz und seine Gruppe nannten als Grund, dass kurz nach dem Tod die Veränderung der Iris noch nicht weit genug vorangeschritten sei.
Für alle, die einen Plan wie Phoenix in „Demolition Man“ verfolgen, gibt es also ein kurzes Zeitfenster, das auch hier ausgenutzt werden kann.
