Onderzoeker misleidt irisscanner met een foto van een iris

Een irisscanner lijkt op het eerste gezicht een zeer veilige beveiligingsmethode. Ook irisscanner kunnen echter om de tuin worden geleid. Dit bewijst de Duitse hacker Jan Krissler van de Computer Chaos Club. Krissler, ook bekend als ‘Starbug’, meldt een irisscanner te hebben misleid met behulp van foto’s die via Google Images kunnen worden gedownload.

Krissler geeft tegenover Forbes aan op de CanSecWest-beveiligingsconferentie te zullen demonstreren hoe de Panasonic Authenticam BM-ET200 om de tuin kan worden geleid. Deze irisscanner wordt niet langer door Panasonic verkocht, maar wordt nog wel op verschillende plekken gebruikt. De aanval werkt vooral goed op doelwitten waarvan veel fotomateriaal op internet beschikbaar is, zoals topmannen van grote bedrijven en hooggeplaatste overheidsfunctionarissen. Hoge resolutie foto’s van deze personen waarop de iris goed zichtbaar is kunnen worden gebruikt om de Panasonic Authenticam BM-ET200 te misleiden.

Niet iedere foto is geschikt
Foto’s moeten echter wel aan een aantal eisen voldoen. Zo moet een afbeelding een resolutie hebben van tenminste 1200 dpi en moeten de ogen helder genoeg zijn om door het systeem gescand te kunnen worden. Krissler stelt er in te zijn geslaagd een commercieel systeem te misleiden met een geprinte foto waarop de iris van het doelwit een diameter van slechts 75 pixels had, iets minder dan 2 centimeter.

Krissler is een beveiligingsonderzoeker die vaker in het nieuws komt met opmerkelijke bevindingen. De hacker kwam vorig jaar nog in het nieuws door de duimafdruk van de Duitse minister van Defensie Ursula von der Leyen te kopiëren. Krissler maakte vanuit verschillende hoeken hoge resolutie foto’s van de duim van Von der Leyen en wist deze met behulp van slimme software om te zetten tot een vingerafdruk. Deze vingerafdruk kon gebruikt worden om vingerafdrukscanners om de tuin te leiden.