Navina Halbe

• Biometrics has become a popular method of securing access to data as it eliminates the need for users to remember a password. Although exploiting the vulnerabilities of biometric systems increased with their usage, these could also be helpful during criminal casework. This thesis aims to evaluate approaches to bypass electronic devices with forged faces to access data for law enforcement. Here, obtaining the necessary data in a timely manner is critical. However, unlocking the devices with a password can take several years with a brute force attack. Consequently, biometrics could be a quicker alternative for unlocking. Various approaches were examined to bypass current face recognition technologies. The first approaches included printing the user's face on regular paper and aimed to unlock devices performing face recognition in the visible spectrum. Further approaches consisted of printing the user's infrared image and creating three-dimensional masks to bypass devices performing face recognition in the near-infrared. Additionally, the underlying software responsible for face recognition was reverse-engineered to get information about its operation mode. The experiments demonstrate that forged faces can partly bypass face recognition and obtain secured data. Devices performing face recognition in the visible spectrum can be unlocked with a printed image of the user's face. Regarding devices with advanced near-infrared face recognition, only one could be bypassed with a three-dimensional face mask. In addition, its underlying software provided evidence about the demands of face recognition. Other devices under attack remained locked, and their software provided no clues.
• Die Biometrie ist eine beliebte Methode für die Zugriffsbeschränkung auf sensible Daten. Sie bietet ein hohes Maß an Nutzerfreundlichkeit, da sich Nutzer kein Passwort merken müssen. Mit dem immer häufigeren Einsatz biometrischer Systeme erhöhte sich auch die Anzahl der Angriffe auf die Schwachstellen solcher Systeme. Andererseits bietet das Ausnutzen dieser Schwachstellen auch neue Möglichkeiten in Bezug auf die Strafverfolgung. In dieser Thesis werden Ansätze evaluiert, wie elektronische Geräte mit gefälschten Gesichtern entsperrt werden können um Zugriff auf für die Strafverfolgung relevante Daten zu erhalten. Hier ist vor allem eine schnelle Datenerhebung notwendig, da es sich meist um zeitkritische Aufträge handelt. Das Entsperren des Geräts mithilfe des Nutzerpassworts kann mehrere Jahre dauern, wenn hierfür ein Brute-Force-Angriff ausgeführt werden muss. Dementsprechend kann die biometrische Entsperrung des Geräts eine schnellere Alternative darstellen. Um aktuelle Technologien für die Gesichtserkennung zu überwinden, wurden verschiedene Ansätze untersucht. Die ersten Versuche beinhalteten das Drucken des Gesichts auf Papier, um Geräte zu entsperren, deren Gesichtserkennung auf der Darstellung des Nutzers im sichtbaren Spektrum basiert. Weitere Ansätze basierten auf dem Drucken des Infrarotbildes des Gesichts und der Erstellung von dreidimensionalen Gesichtsmasken, um Geräte zu entsperren, welche ihre Gesichtserkennung im Nahinfrarotbereich durchführen. Zusätzlich wurde die zugrunde liegende Software hinsichtlich ihrer Arbeitsweise analysiert. Die Experimente zeigen, dass es teilweise möglich ist, die Gesichtserkennung mit gefälschten Gesichtern zu umgehen und Zugriff auf gesicherte Daten zu erlangen. Geräte, deren Gesichtserkennung auf dem sichtbaren Spektrum basiert, können mit dem gedruckten Gesicht des Nutzers entsperrt werden. Von den Geräten, welche eine Gesichtserkennung im Nahinfrarotbereich durchführen, kann ein Gerät mit einer dreidimensionalen Gesichtsmaske entsperrt werden. Weiterhin können Informationen über die Funktionsweise der Gesichtserkennung dieses Geräts in der zugrunde liegenden Software gefunden werden. Weitere Geräte bleiben gesperrt und deren Software liefert keine Anhaltspunkte bezüglich der Funktionsweise der Gesichtserkennung.