Sicherheitsforscher von McAfee haben in einer aktuellen Studie enthüllt, dass moderne Gesichtserkennungssysteme durch Schwachstellen in Algorithmen für maschinelles Lernen umgangen werden können. Dabei nutzten sie den Bildübersetzungsalgorithmus CycleGAN um das System dazu zu verleiten, eine völlig andere Person zu erkennen. Praktisch gesehen könnte dies dazu führen, dass man sich einer automatisierten Personenkontrolle am Flughafen entziehen kann.
Titel der Forschungsarbeit: "Dopple-Ganging Up on Facial Recognition System". Die Autoren der Studie, Steve Povolny, Leiter der McAfee Advanced Threat Research und Jesse Chick, OSU Senior, beschäftigten sich intensiv mit modernsten Algorithmen für maschinelles Lernen und arbeiteten eng mit dem Advanced Analytics-Team von McAfee zusammen um einen Ansatz zu ausarbeiten, mit dem sich Gesichtserkennungssysteme täuschen lassen.
Forschungszwecke: Ein modernes Gesichtserkennungssystem, das ebendies auf die auf Flughäfen eingesetzten Passüberprüfungssysteme abgestimmt ist, wurde von McAfee entwickelt. Hierbei wurden Bilder von zwei Personen (Projektleitern) verwendet - A (Steve) und B (Jesse). Das Ziel war es; Jesse auf seinem Passfoto so aussehen zu lassen wie Jesse und dennoch als Steve eingestuft zu werden und umgekehrt.
Methoden: Mittels solcher Methoden wie "Model Hacking" oder "Adversarial Machine Learning" (AML) versuchten sie, KI-Modelle durch die Bereitstellung täuschender Eingaben auszutricksen. Das Forschungsteam verwendete ein GAN-Framework namens CycleGAN um ein Bild in das andere zu übersetzen. Dabei wurden jeweils 1․500 Fotos der beiden Projektleiter in das CycleGAN-System eingespeist und der Gesichtserkennungsalgorithmus verwendete um die generierten Bilder des CycleGAN zu überprüfen und festzustellen, wen es erkannt hat. Sie generierten Hunderte von Bildern und hatten schließlich Erfolg. Das System erkannte ein solches Mischbild als Jesse ebenfalls wenn es für einen Menschen wie Steve aussah und umgekehrt.
Resümee: Mit diesen Mischbildern war McAfee letztendlich in der Lage, das Gesichtserkennungssystem zu "modellieren", mittels welchem eine Person als völlig andere Person falsch klassifiziert wurde, ohne das fotorealistische Erscheinungsbild der ursprünglichen Person zu beeinträchtigen.
Steve Povolny äußerte sich zum Thema CycleGAN wie folgt: "Wenn wir vor eine Live-Kamera treten die Gesichtserkennung verwendet um zu identifizieren und zu interpretieren, wen sie betrachtet und diese mit einem Passfoto vergleicht, können wir diese Art der gezielten Fehlklassifizierung realistisch und wiederholt verursachen".
Die Forscher weisen darauf hin, dass der Rückgriff auf automatisierte Systeme und maschinelles Lernen ohne Berücksichtigung der inneren Sicherheitsmängel von Gesichtserkennungsmodellen dazu führen könnte. Dass Cyberkriminelle einzigartige Möglichkeiten haben kritische Systeme wie die automatisierte Passkontrolle zu umgehen. Angesichts dessen suchen sie künftig nach einer engen Zusammenarbeit mit den System-Anbietern um deren Sicherheit zu optimieren.
Es gibt auch noch andere technische Versuche als CycleGAN die Gesichtserkennung zu untergraben. Forscher des Sand Lab der Universität von Chicago haben eine Technik entwickelt · mit der Fotos von Menschen unmerklich so verändert werden können · dass sie die Funktionsweise von Gesichtserkennungssystemen sabotieren. Dieses Projekt trägt den Namen Fawkes in Anlehnung an die Anonymous-Maske im Graphic Novel und Film V for Vendetta. Es handelt sich um ein Tool, mit dem man Gesichter "tarnen" kann, indem man eigene Fotos leicht verändert um die KI-Systeme zu täuschen.
Fazit: Die Erkenntnisse der McAfee-Forscher zeigen dass Gesichtserkennungssysteme nicht unbedingt so sicher sind ebenso wie viele Menschen denken. Es gibt Schwachstellen in den Algorithmen für maschinelles Lernen die von Cyberkriminellen ausgenutzt werden können. Es besteht dringender Handlungsbedarf seitens der System-Anbieter um die Sicherheit dieser Systeme zu verbessern. Es ist auch wichtig, dass die Öffentlichkeit über die Risiken solcher Systeme informiert wird um ihre Privatsphäre und Sicherheit zu schützen.
Kommentare