22 Apr 2016

Ihr Gesicht kann nicht ausgetauscht werden

Sicherheit Tipps

Sofern Sie nicht aus Russland stammen, haben Sie wahrscheinlich noch nicht von dem Service gehört, der das Gesicht einer Person analysiert und deren Account im sozialen Netzwerk VK.com findet. Dieser Service heißt FindFace. Er wurde im Februar 2016 vorgestellt, hat aber erst kürzlich an Bekanntheit gewonnen — Dank des beeindruckenden Fotoprojekts, das von dem Fotograf Egor Tsvetkov aus St. Petersburg veröffentlicht wurde. Kürzlich haben wir dieses Projekt in einem unserer Blogbeiträge erwähnt.

findface_experiment-featured

Das Redaktionsteam von Kaspersky Daily hat sich darangemacht, zu untersuchen wie dieser Service funktioniert und welche Arten von Porträts dieser erkennen kann und welche nicht. Wir wollten wissen, ob es wirklich möglich ist, nur mithilfe eines zufälligen Fotos, dem Internet und moderner Technologie eine detaillierte Biografie einer vollkommen fremden Person zu erstellen.

Die Resultate sind alarmierend: es ist tatsächlich möglich. Im Zuge der Studie machten wir auch einige interessante Entdeckungen; zum Beispiel fand einer unserer Kollegen heraus, dass seine digitale Identität gestohlen wurde.

Was ist FindFace und wie funktioniert es?

FindFace ist ein Service, der anhand eines Porträtfotos einer Person das entsprechende Nutzerkonto auf VK.com finden kann. Die ersten 30 Suchvorgänge sind kostenlos, danach sind sie kostenpflichtig.

Der Service bietet eine App für iOS- und Android-Geräte sowie eine Webseitenversion. Die Anwendungen bieten nur begrenzte Funktionalität und bringen einige Fehler mit sich, aber sie haben einen nützlichen Vorteil: Nutzer können ein Foto machen und es umgehend für die Suche auf FindFace nutzen.

Die Anwendung zeigt Profilfotos der möglichen Übereinstimmungen. Sie können auf jedes Foto klicken, um alle öffentlich sichtbaren Bilder des Useraccounts zu sehen. Werfen Sie einen Blick auf Egor Tsvetkovs Arbeiten aus dem Projekt „Your Face is Big Data“, um zu sehen wie einfach es ist, einen Unbekannten zu finden.

Die Webseite ist noch komfortabler, da es von dort möglich ist sofort auf den VK.com-Account der Zielperson zu kommen. Um eine Person mithilfe der Webseite zu suchen, müssen Sie einige zusätzliche Schritte tätigen. Zuerst müssen Sie Fotos auf Ihre Festplatte kopieren und sie dann auf FindFace.ru hochladen.

Wenn Sie „ideale“ Fotos hochladen, in denen die Zielperson für das Foto posiert, funktioniert alles großartig. Das Programm hat 9 von 10 Testopfer aus unserem Team erfolgreich gefunden.

Wenn Sie auf der Straße oder in der U-Bahn heimlich Fotos von Unbekannten machen, vermindert sich die Trefferquote auf die Hälfte oder ein Drittel. Wenn Sie Fotos, die aus weiter Entfernung aufgenommen wurden, hochladen, ist der Service oft nicht in der Lage ein menschliches Gesicht auf dem Foto zu erkennen. Wenn Sie jedoch das Bild heranzoomen oder zuschneiden, ist FindFace wieder erfolgreich.

Bei Tageslicht ist es mit einem durchschnittlichen Smartphone einfach, ein Bild von einem Fußgänger zu machen, das für FindFace gut genug ist. In der U-Bahn werden Sie ein Stativ oder eine gute Kamera nutzen müssen.

Was wir herausfanden

Wenn Sie nicht von jedem beliebigen Unbekannten mit einem Handy entdeckt werden wollen, gibt es einige Dinge die Sie dagegen tun können.

1. Der Service sucht nach Fotos, die auf Ihr VK.com-Profil hochgeladen wurden, nicht in Ihrem gesamten Account. Dies schließt Ihr aktuelles Profilbild und alle früheren ein. Das soziale Netzwerk speichert diese Fotos im Album „Meine Profilfotos“. Es ist zu beachten, dass Sie dieses Album nicht verbergen können — es bleibt immer öffentlich sichtbar. Das Einzige, was Sie tun können, ist alte Profilfotos zu löschen: je weniger Fotos Sie in diesem Album speichern, umso schwieriger ist es für die App Sie zu identifizieren.

Tipp: Löschen Sie alte Fotos. Speichern Sie nur das neueste Foto in diesem Album, um Sie vor der Gesichtserkennungs-Tyrannei zu schützen.

2. Es ist möglich, die Gesichtserkennung zu erschweren, indem Sie einen Kapuzenpullover tragen oder Ihren Kopf von der Kamera wegdrehen oder in einem ungewöhnlichen Winkel zeigen. Lustige Grimassen schneiden ist mit einigen Ausnahmen auch eine Option. Sonnenbrillen mit einem großen Rahmen sind perfekt, es sei denn Sie haben auf Ihrem Profil ein Bild mit derselben Sonnenbrille (oder mit derselben lustigen Grimasse).

3. Viele der Freiwilligen, die an dem Experiment teilnahmen, wussten nicht, dass es so viele öffentliche Fotos von ihnen gibt. Zwar hatten sie ihre Privatsphäreeinstellungen überprüft, aber das war nicht genug, da VK es nur zulässt, dass Sie den Zugriff auf Alben einschränken (aber dann auch nicht auf alle), nicht auf einzelne Fotos.

Tipp: Bitten Sie jemanden, den Sie kennen und dem Sie vertrauen, darum Sie von seiner Kontaktliste zu löschen (und Ihnen nach dem Test erneut eine Freundschaftsanfrage zu schicken), Ihren Account auszukundschaften und herauszufinden, was einsehbar ist und was nicht. Falls nötig können Sie daraufhin öffentliche Fotos in Ihre privaten Alben verschieben.

4. FindFace funktioniert absolut legal: der Service nimmt keine Daten in den Cachespeicher auf, um diese Informationen, die durch die Privatsphäreeinstellungen des sozialen Netzwerks verborgen wurden, zu veröffentlichen. Als wir alle unsere Fotos auf VK.com entfernten, war der Service bei der zweiten Suche nicht mehr im Stande uns zu finden. Es ist allerdings sehr wahrscheinlich, dass in Zukunft ein neuer Service auftauchen wird, der ein noch tückischeres Verhalten zeigen wird — insofern, dass er Daten aus anderen bekannten sozialen Netzwerken wie Facebook oder Instagram speichert. Deshalb ist es besser, im Voraus die Sicherheitseinstellungen der anderen Social-MediaAccounts doppelt zu überprüfen.

5. FindFace bezeichnet sich selbst als Datingservice. Wenn Sie zum Beispiel eine attraktive Person sehen, machen Sie ein Foto von ihr und durchstöbern ihren Account — und schon haben Sie ein Thema um zu flirten. Tatsächlich kann dieser Service Ihnen bei weiteren nützlichen — und eigenartigen — Dingen hilfreich sein.

Denken Sie an die Geschichte, die kürzlich von den ABC-News enthüllt wurde: eine Überwachungskamera machte ein Video von Einbrechern, während sie ein Haus ausraubten. Wenn das in einem russischsprachigen Land passiert wäre, gäbe es eine 99-prozentige Wahrscheinlichkeit, dass die Kriminellen einen VK.com-Account besäßen. So könnte man den Service nutzen, um die Täter zu finden.

Andererseits nutzen viele zum Schutz ihrer Privatsphäre in Social-Media-Accounts falsche Namen, aber veröffentlichen ihre realen Fotos. Sie denken, dass das Internet zu groß ist, so dass niemand sie mithilfe eines Fotos finden könnte. Nun ja, wenn man will, dann ist das durchaus möglich. Arbeitgeber überprüfen zum Beispiel häufig die Seiten der sozialen Netzwerke von Bewerbern, bevor sie diese zu einem Vorstellungsgespräch einladen.

Wie unser Mitarbeiter herausfand, dass seine digitale Identität gestohlen wurde

Einige Nutzer veröffentlichen einfach überhaupt keine Fotos in sozialen Netzwerken. Einer unserer Mitarbeiter handhabt das zum Beispiel auf diese Weise. FindFace hat ihn aber trotzdem gefunden.

Dies lief folgendermaßen ab: ein Nutzer namens „Vitek Tizinksilov“ kopierte das Foto unseres Mitarbeiters von der Gallerie eines anderen Nutzers auf einem anderen sozialen Netzwerk und entschied es als sein eigenes Profilbild zu verwenden.

Als wir Google Images nach demselben Foto durchsuchten, fanden wir heraus, dass es auch in einem anderen sozialen Netzwerk namens Fotostrana (was so viel bedeutet wie Fotoland) als Profilbild benutzt wurde. Das war nun kein angenehmer Fund.

Wenn Sie also nichts hochladen, heißt das trotzdem nicht, dass Sie unsichtbar sind: Ihre Freunde könnten das stattdessen tun — indem sie ein Porträtbild von Ihnen veröffentlichen oder ein Gruppenbild, auf dem Sie zu sehen sind. Niemand kann voraussehen, was mit diesem Foto passieren wird.

Tipp: Bevor VK.com die APIs sperrt, die von der App verwendet werden, können Sie überprüfen, ob Sie irgendwelche Klone im sozialen Netzwerk haben.

Disclaimer: Wir haben jegliche Daten von Personen gelöscht, deren Fotos im Rahmen dieses Experiments gemacht wurden und die keine Genehmigung zu deren Veröffentlichung gegeben haben.