Corneal Key Logger: PIN aus Selfies extrahieren

Corneal Key Logger ist eine Methode, mit der Forscher aus hochauflösenden Selfie-Aufnahmen Reflexionen in den Hornhäuten (Augenweiß) auslesen und daraus eingegebene PINs rekonstruieren können. Die Technik zeigt Grenzen biometrischer Authentifizierung und lässt sich teilweise durch einfache Maßnahmen wie reduzierte Fotoauflösung, Blickrichtung, Abdeckung der Augen oder Mehrfaktor-Authentifizierung abschwächen.

Kurzbeschreibung

Der deutsche Forscher Jan Krissler (alias Starbug) demonstrierte, wie aus hochauflösenden Fotos von Personen Reflexionen des Smartphone-Bildschirms in den Augen ausgewertet werden können, um dort eingegebene Ziffernfolgen (PINs) abzulesen. Er präsentierte die Ergebnisse auf der Biometrics 2015 Konferenz in London und wies darauf hin, dass Fingerabdruck, Gesicht und Iris in vielen Systemen angreifbar sind.

Wichtig: Die folgenden Beschreibungen fassen die von Starbug vorgestellten Techniken zusammen. Einige Behauptungen stammen aus seiner Präsentation und wurden in Demonstrationen gezeigt; nicht alle Methoden sind trivial in realen Angriffszenarien reproduzierbar.

Was wurde gezeigt

• Extraktion von Bildschirmreflexionen aus dem Augenweiß (Sclera) auf hochauflösenden Selfies.
• Nutzung von Bildverarbeitungs‑ und Tiling‑Techniken, um einzelne Bildbereiche zu vergrößern und Eingaben zu rekonstruktieren.
• Nachbau von Iris-Daten durch hochauflösende Fotos und anschließendes Ausdrucken auf Kontaktlinsen zur Täuschung von Iris‑Scannern.
• Beispiele mit prominenten Fotos (unter anderem ein Foto der deutschen Bundeskanzlerin) und frühere Arbeiten zur Reproduktion von Fingerabdrücken aus Fotos.

Wie die Methode grob funktioniert (Mini‑Methodologie)

1. Aufnahme: Hochauflösende Kamera oder stark vergrößernde Optik, Foto einer Person, die auf ein Gerät blickt.
2. Detektion: Lokalisierung von Augen und Hornhautregionen im Bild.
3. Extraktion: Erhöhen der Auflösung der Reflexionsregionen mittels Super‑Resolution, Tiling und Bildstitching.
4. Rekonstruktion: Erkennen von Konturen der Tastatur- oder PIN‑Eingabe (z. B. Zahlenblock) in der Reflexion.
5. Validierung: Abgleich von möglichen PIN‑Kombinationen durch Beobachtung von Blickrichtung und Handbewegung.

Kurz: Aus kleinen, oft übersehenen Reflexionsbildern lassen sich nutzbare Informationen gewinnen, wenn Auflösung und Winkel stimmen.

Technische Details und Begriffe

• Super‑Resolution: Algorithmus, um aus mehreren Bildern oder einem Bild mit Rauschen eine höhere Detailtiefe zu gewinnen.
• Sclera: Augenweiß; reflektiert Umgebungsobjekte und ist oft rund genug, um verzerrte Spiegelungen zu liefern.
• Liveness Detection: Verfahren, die prüfen, ob biometrisches Merkmal von einer lebenden Person stammt (z. B. Blinzeln, Mikro‑Bewegungen).

Demonstrationen und frühere Arbeiten

Starbug zeigte unter anderem:

• Reproduktion eines Fingerabdrucks von einer abfotografierten Vorlage und dessen Nutzung gegen Touch ID.
• Aufnahme der Iris einer Person in hoher Auflösung, anschließendes Drucken auf Kontaktlinse und Missbrauch gegen Iris‑Scanner.
• Nutzung großer Kameraobjektive, um Fingerabdrücke aus der Ferne zu erfassen.

Er warnte, dass viele biometrische Systeme „spoofbar“ seien und forderte Hersteller heraus, robuste Gegenmaßnahmen zu entwickeln.

Wann die Methode nicht oder nur schwer funktioniert (Gegenbeispiele)

• Niedrige Fotoauflösung: Standard‑Smartphone‑Selfies mit hoher Kompression liefern oft nicht genug Detail.
• Ungünstige Blickwinkel: Ist die Hornhaut nicht im richtigen Winkel zur Kamera, fehlen lesbare Reflexionen.
• Abdeckungen: Sonnenbrillen, Brillen mit entspiegelter Beschichtung, Augenpartien im Schatten oder verdeckte Augen verhindern brauchbare Reflexionen.
• Bewegungsunschärfe oder starkes Rauschen: Verhindert zuverlässige Super‑Resolution.
• Verschlüsselte oder dynamische Tastaturen: Z. B. zufällige Tastatur‑Layouts erschweren die Zuordnung von Reflexion zu Ziffern.

Praktische Gegenmaßnahmen für Nutzer

• Vermeide Nahaufnahmen auf Blickhöhe, wenn du sensible Eingaben tätigst.
• Nutze Bildschirmsperren mit Mehrfaktorauthentifizierung (PIN + Token oder Biometrie + PIN).
• Deaktiviere Public‑Sharing von hochauflösenden Fotos, auf denen du auf ein Gerät schaust.
• Setze physische Barrieren ein: Lippen/Hand leicht vor die Eingabe, Blick abwenden bei PIN‑Eingabe.

Wichtig: Selbst wenn ein einzelner Schutzmaßnahme umgangen wird, reduziert eine Kombination aus Maßnahmen die praktische Angriffsfläche erheblich.

Empfehlungen für Hersteller und Produktverantwortliche

• Mehrfaktor‑Authentifizierung als Standard anbieten, statt alleiniger Biometrie.
• Tiefergehende Liveness‑Checks einbauen, die schwer automatisiert zu täuschen sind (z. B. passive 3D‑Strukturanalyse, Challenge‑Response mit Zufallsdaten).
• Template‑Schutz und Verwischung der Rohdaten: Biometrische Daten lokal verschlüsseln und nicht als exportierbare Rohdaten speichern.
• Sensorfusion: Kombination verschiedener Sensoren (z. B. Gesicht + Inertialsensoren) zur Erhöhung der Angriffskosten.
• Usability beachten: Sicherheitsmaßnahmen müssen praktikabel bleiben, sonst werden Anwender sie umgehen.

Risikoabschätzung und Minderung (qualitativ)

• Risiko: Hohe technische Hürde für Angreifer mit normalen Mitteln; moderat bis hoch bei Zugang zu hochauflösender Optik und Strafverfolgungsressourcen.
• Schadenspotenzial: Je nach Einsatzbereich (Banking, Zugangskontrolle) mittel bis hoch.
• Mitigation: Einführung von Mehrfaktor‑Authentifizierung, Reduktion von Fotoqualität in öffentlichen Feeds, verbesserte Liveness Detection.

Rollenbasierte Checkliste

Für Endbenutzer:

• Nutze MFA.
• Teile keine hochauflösenden Selfies, die Augen und Geräte gleichzeitig zeigen.

Für Security Engineers:

• Prüfe Liveness‑Mechanismen gegen papierbasierte und optische Spoofs.
• Implementiere Template‑Schutz und regelmäßige Sicherheitsreviews.

Für Produktmanager:

• Priorisiere MFA und klare Fehlerfälle bei biometrischen Fehlschlägen.
• Kommuniziere Risiken transparent in Privacy‑ und Security‑Docs.

Datenschutz und rechtliche Hinweise

Biometrische Daten gelten in vielen Rechtsräumen als besonders schützenswert. In der EU fallen sie unter besondere Kategorien personenbezogener Daten nach DSGVO; ihre Verarbeitung erfordert rechtliche Grundlage, Zweckbindung und angemessene technische Maßnahmen. Organisationen sollten die Speicherung, Übertragung und Löschung biometrischer Daten sorgfältig regeln.

Hinweis: Wenn eine Anwendung Biometrie nutzt, muss sie die Betroffenen über Risiken aufklären und technisch angemessene Schutzmaßnahmen bieten.

Fazit

Starbugs Arbeiten zeigen, dass selbst kleine Reflexionen in Selfies sensible Informationen offenbaren können. In der Praxis reduzieren einfache Maßnahmen wie MFA, Blickabweichung und technische Verbesserungen der Liveness Detection die Attacke deutlich. Biometrie bleibt nützlich, darf aber nicht als alleinige Sicherheitslinie betrachtet werden.

Zusammenfassung

• Hornhautreflexionen können PIN‑Eingaben aus hochauflösenden Selfies verraten.
• Praktische Schwachstelle: Kombination aus hoher Fotoqualität und geeignetem Blickwinkel.
• Gegenmaßnahmen: MFA, Sensorfusion, verbesserte Liveness‑Prüfung und Vorsicht beim Teilen von Fotos.

Kurzankündigung

Starbug demonstrierte, wie aus Selfies gewonnene Reflexionsdaten zur Rekonstruktion von PINs verwendet werden können. Die Forschung betont die Notwendigkeit robuster Liveness‑Checks und Mehrfaktor‑Authentifizierung. Nutzer und Hersteller sollten ihre Praktiken anpassen, um biometrische Systeme besser zu schützen.