Onlangs hebben discussies op Chinese sociale media over ‘selfiegebaren waarbij vingerafdrukken lekken’ opnieuw publieke zorgen over biometrische beveiliging gewekt. Deskundigen herinneren eraan dat naarmate de resolutie en algoritmemogelijkheden van camera's voor mobiele telefoons blijven verbeteren, hackers in theorie voldoende duidelijke vingerafdrukpatronen uit gewone foto's kunnen halen en deze kunnen gebruiken om vingerafdrukken te vervalsen om mobiele telefoons, computers en systemen zoals betalings- en accountaanmeldingen aan te vallen.
Volgens rapporten hebben sommige experts erop gewezen dat als de vinger op de foto naar de camera is gericht en de opnameafstand binnen ongeveer 1,5 meter (ongeveer vijf voet) ligt, het mogelijk is om voldoende details vast te leggen om de vingerafdruk te reconstrueren. Op deze basis hebben aanvallers, door beeldbewerkingssoftware en hulpmiddelen voor kunstmatige intelligentie te combineren om vingerafdrukken te verscherpen en te verbeteren, de mogelijkheid om "nepvingerafdrukken" te creëren die bepaalde apparaten voor vingerafdrukherkenning voor de gek kunnen houden. Jing Jiwu, een professor aan de Universiteit van de Chinese Academie van Wetenschappen, benadrukte dat factoren zoals licht, focus en bewegingsonscherpte het succespercentage van identificatie zullen beïnvloeden, maar afbeeldingen met een hoge resolutie of superpositieberekeningen van meerdere foto's kunnen de kans op het verkrijgen van bruikbare vingerafdrukgegevens aanzienlijk vergroten.
Een directe reden waarom de discussie in China en Azië snel oplaait, is het veelvuldig verschijnen van ‘schaarhanden’ (V-vormig gebaar) in selfies. Door dit gebaar wordt vaak het vingerafdrukoppervlak direct voor de camera zichtbaar. Als de kwaliteit van de opnameapparatuur goed genoeg is en de foto's niet overdreven gecomprimeerd zijn, kan dit grondstof opleveren voor het extraheren van vingerafdrukken.
In feite is het concept van "het stelen van vingerafdrukken van foto's" niet nieuw. Ruim tien jaar geleden hadden beveiligingsonderzoekers de haalbaarheid van soortgelijke aanvallen al aangetoond. Vanwege de toenmalige beperkingen van de fotografische apparatuur en de beeldverwerkingstechnologie had deze aanval voor de meeste hackers echter nog steeds geen praktische waarde. Naarmate de hardware van smartphonecamera's steeds verder wordt geüpgraded en computeralgoritmen voor fotografie volwassener worden, is het gemakkelijker geworden om foto's met duidelijke vingerafdrukdetails te maken in echte omgevingen, waardoor de drempel voor dergelijke aanvallen geleidelijk wordt verlaagd.
In een eerdere zaak die de aandacht trok in de branche, omzeilde Jan Krissler, een Duitse biometrische onderzoeker en lid van de Chaos Computer Club, kort na de lancering met succes het Touch ID-vingerafdruksysteem van Apple. Vervolgens gebruikte hij een openbare foto van de hand van de Duitse minister van Defensie om de haalbaarheid aan te tonen van het reconstrueren van zijn vingerafdrukken op basis van openbare foto's. Destijds vereisten dergelijke aanvallen echter doorgaans meerdere beelden met een hoge resolutie, strak gecontroleerde opnameomstandigheden en gespecialiseerde verwerkingsprocedures, waardoor de bruikbaarheid ervan beperkt was.
Naarmate de toolketens de afgelopen jaren verder zijn vereenvoudigd, zijn aanvalspaden intuïtiever en goedkoper geworden. In 2021 demonstreerden onderzoekers van Kraken Security Labs een manier om een bruikbare nepvingerafdruk te maken om sommige vingerafdrukherkenningssystemen voor de gek te houden met alleen een foto van een vingerafdruk, Photoshop, een laserprinter en houtbewerkingslijm. De onderzoeksgemeenschap heeft ook vingerafdrukauthenticatieschema's op softwareniveau gekraakt, en de politie heeft ook precedenten gebruikt om de handfoto's van verdachten te vergelijken met vingerafdrukdatabases om identiteiten te vergrendelen en arrestaties te verrichten.
Hoewel dit soort risico’s voortdurend wordt genoemd door de academische wereld en de industrie, wordt vingerafdrukherkenning nog steeds veel gebruikt op laptops, tablets en veel Android-smartphones. De belangrijkste reden ligt in het wisselwerkingseffect tussen gemak en veiligheid: vergeleken met wachtwoorden verlagen vingerafdrukken en andere biometrische gegevens de bedieningsdrempel bij dagelijks gebruik aanzienlijk, terwijl ze nog steeds een zekere bescherming bieden tegen willekeurige diefstal of ongeoorloofde toegang. Nu selfies en afbeeldingen met hoge resolutie echter alomtegenwoordig worden op sociale platforms, is de manier waarop de onbedoelde blootstelling van persoonlijke biometrie kan worden geminimaliseerd met behoud van gemak een urgent nieuw probleem geworden op het gebied van privacy en veiligheid.