Vermutlich sind die meisten Menschen bereits mit Gesichtserkennungssoftware in Berührung gekommen, insbesondere als Authentifizierungsmethode, die Identitäten anhand etwas, das man ist überprüft. Allerdings können Kameras oder Videostreams, die von diesen Systemen genutzt werden, manipuliert oder mit gefälschten Inhalten injiziert werden. Dabei kommen häufig fortschrittliche Deepfake-Technologien oder physische Täuschungen zum Einsatz, um biometrische Sicherheitsmassnahmen zu umgehen.

Einführung

In ihrer Veröffentlichung ID Proofing Good Practices beschreibt die ENISA, dass Facial Recognition Injection Angriffe fünfmal häufiger vorkommen als Präsentationsangriffe. Besonders sogenannte Video Injection Angriffe, die Deepfake-Technologien einsetzen, haben unter Kriminellen und staatlichen Akteuren an Bedeutung gewonnen.

Dieser Artikel bietet einen Überblick über die Funktionsweise von Facial Recognition Injection Angriffen sowie empfohlene Praktiken, um System-Schnittstellen gegen diese komplexen Bedrohungen abzusichern. Er entstand in Zusammenarbeit mit Mobai, einem norwegischen Start-up, das sich auf biometrische Gesichtserkennungstechnologie spezialisiert hat, und bei dem der Autor ein Praktikum absolviert hat.

Gesichtserkennung wird als Authentifizierungsfaktor weit verbreitet eingesetzt, indem sie Identitäten anhand biometrischer Attribute im Kontext von etwas, das man ist geprüft wird. Angriffe auf Gesichtserkennungssysteme lassen sich allgemein in zwei Kategorien einteilen: Präsentationsangriffe und Injektionsangriffe. Präsentationsangriffe umfassen die Verwendung irreführender Materialien, sogenannter Präsentationsangriffsinstrumente (PAIs), wie etwa Fotos oder 3D-Masken, um biometrische Sensoren zu täuschen.

Im Gegensatz dazu beinhalten Facial Recognition Injection Angriffe oder Video Injection Angriffe das direkte Einschleusen manipulierter Videos oder Bilder in den Kamerastream mithilfe sogenannter Injektionsangriffsinstrumente (IAIs). Dabei fangen Angreifer den Kamera-Feed ab oder verändern ihn, indem sie diesen durch gefälschte Inhalte wie Bilder, vorab aufgezeichnete Videos oder Deepfakes ersetzen.

Deepfakes stehen nicht im Fokus dieses Artikels, allerdings hat Andrea Hauser hierzu bereits zahlreiche hervorragende Artikel veröffentlicht:

• Deepfakes – Eine Einführung
• Deepfake Audio Text to Speech – Eine Einführung
• Deepfakes Analysis – Anzahl Bilder, Lichtverhältnisse und Winkel
• Deepfakes Analysis – Auflösung, Gesichtsstruktur und überlagernde Objekte
• Deepfakes Analysis – Einfluss der Berechnungsdauer

Angriffsvektoren

ENISA verwendet in ihrer Veröffentlichung ID Proofing Good Practices eine Abbildung, die zeigt, an welcher Stelle ein bearbeitetes Video in ein Gesichtserkennungssystem eingespeist wird, nämlich dort, wo der Video-Feed abgefangen und durch manipuliertes Videomaterial ersetzt wird.

Virtual Video Injections

Die einfachste Angriffsform besteht darin, eine virtuelle Kamera auf dem Gerät einzusetzen. Wie später gezeigt wird, dient eine virtuelle Kamera hauptsächlich dazu, manipulierte Videos in Videostreams einzuspeisen. Solche Angriffe lassen sich sowohl auf Mobiltelefonen als auch auf anderen mobilen Geräten durchführen. Beliebte Softwarelösungen, die virtuelle Kamerafunktionen bereitstellen, sind etwa OBS und ManyCam. Diese Tools werden häufig beim Livestreaming oder in Videokonferenzen eingesetzt, um Inhalte über Videofeeds zu legen. Einen solchen Angriff durchzuführen ist so einfach wie die Auswahl des virtuellen Kamera-Inputs in Anwendungen wie Zoom und anschliessend das Laden der gewünschten manipulierten Medien. Eine praktische Demonstration mit OBS kann im folgenden Video von GuideRealm angesehen werden.

Darüber hinaus gibt es spezielle Softwarelösungen für Echtzeit-Face-Swapping oder Deepfakes, die in Verbindung mit den oben genannten virtuellen Kamera-Tools verwendet werden können. Erwähnenswerte Open-Source-Projekte, die solche Funktionen bieten, sind Deep-Live-Cam, DeepFaceLive und Avatarify Python, wobei DeepFaceLive am 13. November 2024 archiviert wurde. Für detaillierte Demonstrationen wird empfohlen, verschiedene Videos zu konsultieren. Besonders hervorzuheben ist das deutsche Video von AlexiBexi, das Deep-Live-Cam sehr ausführlich erklärt.

Hardware-basierte Video Injections

Hardware-basierte Video Injections stellen einen weiteren Ansatz dar, der in seinem Konzept virtuellen Kamera Injections ähnelt, jedoch physische Hardware-Geräte nutzt, um manipulierte Videostreams einzuspeisen. Typischerweise werden hierzu externe Adapter, wie etwa Video-Capture-Karten verwendet, welche Eingaben über HDMI annehmen und als Kamera Inputs mit Client-Geräten verbunden werden. Diese Adapter werden meist über USB-C-Anschlüsse verbunden, wobei auch direkte Kameraeingangsadapter möglich sind, die jedoch spezielle Anschlüsse benötigen.

Die Implementierung von Hardware-Injektionen, insbesondere bei mobilen Geräten, erfordert oft das physische Entfernen oder Ersetzen der internen Kameras. Anleitungen von Ressourcen wie iFixit bieten detaillierte Teardown-Anweisungen für verschiedenste Geräte. Mobile Geräte nutzen häufig Schnittstellen wie das MIPI Camera Serial Interface (CSI-2), das über Flachbandkabel-Verbindungen (FPC) angeschlossen wird. Zwar existieren CSI-zu-HDMI-Adapter, besonders für Raspberry-Pi-Systeme, jedoch ist deren Kompatibilität aufgrund unterschiedlicher Pin-Belegungen, Steckertypen und Spannungslevel nicht universell gegeben. Ein dokumentierter Proof-of-Concept wurde von FaceTec in ihrem NIST FRVT-PAD Kommentar aus dem Jahr 2022 demonstriert, wobei der ursprüngliche Demonstrationskanal inzwischen von YouTube entfernt wurde.

Das Rooten mobiler Geräte kann ebenfalls notwendig sein, um die erforderlichen Modifikationen vorzunehmen. Alternativ eignet sich ein Raspberry Pi mit LineageOS, einer Open-Source Android-Distribution, als effektive Plattform zum Testen von Facial Recognition Systemen und Angriffen, insbesondere aufgrund seiner nativen Unterstützung für CSI-zu-HDMI-Adapter.

Endgerät-Emulation

Angriffe können auf emulierten Systemen gegen Facial Recognition Systeme ausgeführt werden. Hierbei werden virtuelle emulierte Umgebungen genutzt, um kamerabezogene Systemaufrufe abzufangen und zu manipulieren. Anstatt mit physischer Hardware zu kommunizieren, werden diese Aufrufe an virtuelle Kameras und Sensoren des Emulators umgeleitet. Das virtuelle Betriebssystem führt diese Systemaufrufe aus und ermöglicht so das Einschleusen von gefälschten Videostreams, ohne dabei die physische Hardware zu verändern.

Function Hooking

Function Hooking ist eine komplexer Angriff, bei der Systemaufrufe des Facial Recognition Systems direkt auf dem eigentlichen Gerät abgefangen und modifiziert werden. Im Gegensatz zur Endgeräte Emulation verändert Function Hooking Funktionsaufrufe in Echtzeit während der Videoaufnahme im Debugging-Zustand. Angreifer können dies erreichen, indem sie die verwendete Funktion des Facial Recognition System durch eine gefälschte Funktion ersetzen, welche den Videostream ersetzt.

Die Umsetzung von Function Hooking erfordert fortgeschrittene technische Fähigkeiten, darunter Root-Zugriff, Reverse Engineering (Dekompilierung), detailliertes Wissen über Systemaufruf-Mechanismen und die Fähigkeit, schädliche Funktionen zu erstellen. Aufgrund ihrer Komplexität und Abhängigkeit von spezifischen Technologien und Anwendungen sind Function-Hooking-Angriffe stark spezialisiert und individuell auf jedes Angriffsszenario zugeschnitten.

Prävention und Erkennung von Facial Recognition Injection Attacken

Im Gegensatz zu Präsentationsangriffs-Instrumenten (PAIs) können Injection Attack Instruments (IAIs) mit traditionellen Methoden wie Liveness Detection nicht vollständig erkannt werden. Typischerweise basieren Liveness Detection Mechanismen auf verschiedenen Faktoren, darunter Bewegungsanalyse, 3D-Tiefenerfassung sowie die Auswertung von Lichtreflexionen und Schatten. Die Erkennung oder Prävention von IAIs stellt eine erhebliche Herausforderung dar, da diese Angriffe manipulierte Geräte betreffen, die vom Angreifer kontrolliert werden.

In Live-Video-Szenarien wie Online-Vorstellungsgesprächen sind IAIs besonders schwer zu identifizieren, da die Erkennung stark von der Awareness der Interviewer oder anderer Teilnehmer abhängt. Diese Schwachstelle wurde insbesondere bei Vorfällen mit Live-Deepfake-Angriffen ausgenutzt, wie sie beispielsweise durch nordkoreanische APT-Gruppen durchgeführt wurden. Ein gut dokumentiertes Beispiel findet sich im Artikel KnowBe4 Interviews a Fake North Korean Employee.

Effektive Strategien zur Erkennung von IAIs gehen über die blosse Sensibilisierung der Benutzer hinaus. Diese umfassen Integritätsprüfungen auf Ebene der Geräte, Kameras und Video-Streams. Die Integritätsprüfung umfasst dabei die Überprüfung der Echtheit der Hardware, der Legitimität der Software sowie der Konformität von Treibern anhand etablierter Baselines und bekannter sicherer Konfigurationen. Darüber hinaus spielen Anti-Spoofing-Software und fortschrittliche Algorithmen eine entscheidende Rolle in Facial Recognition Systemen, um solche Angriffe zu reduzieren.

Aus organisatorischer und technischer Perspektive bietet der Standard CEN/TS 18099:2025 umfassende Richtlinien und Erkenntnisse für das Management von biometrischen Sicherheitsbedrohungen. Zusätzlich entwickelt die Internationale Organisation für Normung (ISO) derzeit einen Standard unter dem Arbeitstitel NP 25456, Information technology — Biometrics — Biometric data injection attack detection, mit dem Ziel, standardisierte Verfahren zur wirksamen Identifikation und Eindämmung biometrischer Injektionsangriffe zu etablieren.

Fazit

Facial Recognition Systeme werden zunehmend entscheidend für Sicherheit und Authentifizierung. Gleichzeitig nehmen die Raffiniertheit sowie Maturität dieser Angriffsvarianten zu. Facial Recognition Injection Attacken stellen eine erhebliche Bedrohung dar, da sie herkömmliche Sicherheitsmethoden umgehen. Diese Angriffe verwenden Werkzeuge wie Deepfakes, virtuelle Kameras und spezielle Hardware-Geräte, um Videostreams zu manipulieren, was deren Erkennung erschwert.

Um diesen Bedrohungen entgegenzuwirken, ist ein mehrschichtiger Verteidigungsansatz notwendig. Die Integration von Geräte-Integritätsprüfungen, Anti-Spoofing-Software und sicheren Systemschnittstellen ist dabei unverzichtbar. Das Bewusstsein über Angriffsmethoden wie virtuelle Kamera-Manipulationen und Deepfake Injections ist entscheidend für den Schutz biometrischer Systeme.

Über den Autor

Yann Santschi hat eine Systemtechnikerlehre bei SIX abgeschlossen und danach bei einer der Big Four Consulting Firmen als Cyber Security Consultant gearbeitet. Er macht gegenwärtig seinen Bachelor in Information and Cyber Security mit dem Major in Attack Specialist and Penetration Testing an der HSLU. Sein Fokus liegt auf Webapplikationen, Netzwerksicherheit und Social Engineering.

Links

• https://blog.knowbe4.com/our-interview-of-a-north-korean-fake-employee
• https://facetec.com/FaceTec_NIST_FRVT-PAD_Comments.pdf
• https://github.com/alievk/avatarify-python
• https://github.com/hacksider/Deep-Live-Cam
• https://github.com/iperov/DeepFaceLive
• https://manycam.com/
• https://obsproject.com/forum/resources/obs-virtualcam.949/
• https://standards.iteh.ai/catalog/standards/sist/09b7f18c-deb7-439e-bcf0-d95a9b752cc9/sist-ts-cen-ts-18099-2025
• https://www.biometricupdate.com/202502/iso-biometric-injection-attack-detection-standard-on-the-way
• https://www.enisa.europa.eu/sites/default/files/2024-11/Remote%20ID%20Proofing%20Good%20Practices_en_0.pdf
• https://www.ifixit.com/
• https://www.mobai.bio/
• https://www.scip.ch/?labs.20181004
• https://www.scip.ch/?labs.20181122
• https://www.scip.ch/?labs.20190307
• https://www.scip.ch/?labs.20190613
• https://www.scip.ch/?labs.20210318