I dispositivi mobili utilizzano la tecnologia di riconoscimento facciale per aiutare gli utenti a sbloccare i loro telefoni in modo rapido e sicuro, effettuare una transazione finanziaria o accedere a cartelle cliniche. Ma le tecnologie di riconoscimento facciale che utilizzano uno specifico metodo di rilevamento degli utenti sono altamente vulnerabili agli attacchi basati su deepfake che potrebbero portare a notevoli problemi di sicurezza per utenti e applicazioni, secondo una nuova ricerca che coinvolge il Penn State College of Information Sciences and Technology.

I ricercatori hanno scoperto che la maggior parte delle interfacce di programmazione delle applicazioni che utilizzano la verifica della vivacità facciale, una caratteristica della tecnologia di riconoscimento facciale che utilizza la visione artificiale per confermare la presenza di un utente dal vivo, non rilevano sempre foto o video alterati digitalmente di individui fatti per sembrare un versione live di qualcun altro, nota anche come deepfake. Le applicazioni che utilizzano queste misure di rilevamento sono anche molto meno efficaci nell'identificare i deepfake rispetto a quanto affermato dal fornitore dell'app.

"Negli ultimi anni abbiamo osservato uno sviluppo significativo delle tecnologie di autenticazione e verifica facciale, che sono state implementate in molte applicazioni critiche per la sicurezza", ha affermato Ting Wang, professore associato di scienze e tecnologia dell'informazione e uno dei principali ricercatori del progetto. "Nel frattempo, abbiamo anche assistito a sostanziali progressi nelle tecnologie di deepfake, rendendo abbastanza facile sintetizzare immagini facciali e video dall'aspetto dal vivo a basso costo. Poniamo quindi la domanda interessante:è possibile che gli aggressori malintenzionati utilizzino in modo improprio i deepfake per ingannare il viso sistemi di verifica?"

La ricerca, presentata questa settimana all'USENIX Security Symposium, è il primo studio sistemico sulla sicurezza della verifica della vitalità facciale in contesti reali.

Wang e i suoi collaboratori hanno sviluppato un nuovo framework di attacco basato su deepfake, chiamato LiveBugger, che consente una valutazione della sicurezza personalizzabile e automatizzata della verifica della vitalità del viso. Hanno valutato sei principali interfacce di programmazione per applicazioni commerciali di verifica della vitalità facciale fornite. Secondo i ricercatori, eventuali vulnerabilità di questi prodotti potrebbero essere ereditate dalle altre app che li utilizzano, minacciando potenzialmente milioni di utenti.

Utilizzando immagini e video deepfake protetti da due set di dati separati, LiveBugger ha tentato di ingannare i metodi di verifica della vivacità facciale delle app, che mirano a verificare l'identità di un utente analizzando immagini statiche o video del suo viso, ascoltando la sua voce o misurando la sua risposta per eseguire un'azione a comando.

I ricercatori hanno scoperto che tutti e quattro i metodi di verifica più comuni potrebbero essere facilmente aggirati. Oltre a evidenziare come il loro framework abbia aggirato questi metodi, propongono suggerimenti per migliorare la sicurezza della tecnologia, inclusa l'eliminazione dei metodi di verifica che analizzano solo un'immagine statica del viso di un utente e la corrispondenza dei movimenti delle labbra con la voce di un utente in metodi che analizzano sia l'audio che video di un utente.

"Sebbene la verifica della vivacità facciale possa difendersi da molti attacchi, lo sviluppo di tecnologie deepfake solleva una nuova minaccia, di cui finora si sa poco", ha affermato Changjiang Li, dottorando in scienze e tecnologia dell'informazione e co-primo autore del carta. "I nostri risultati sono utili ai fornitori per correggere le vulnerabilità dei loro sistemi."

I ricercatori hanno riferito le loro scoperte ai fornitori le cui applicazioni sono state utilizzate nello studio, con uno da quando ha annunciato i suoi piani per condurre un progetto di rilevamento deepfake per affrontare la minaccia emergente.

"La verifica della vitalità facciale è stata applicata in molti scenari critici, come pagamenti online, servizi bancari online e servizi governativi", ha affermato Wang. "Inoltre, un numero crescente di piattaforme cloud ha iniziato a fornire la verifica della vitalità facciale come piattaforma come servizio, il che riduce significativamente i costi e abbassa la barriera per le aziende all'implementazione della tecnologia nei loro prodotti. Pertanto, la sicurezza del viso la verifica della vivibilità è molto preoccupante." + Esplora ulteriormente

Il nuovo metodo rileva i video deepfake con una precisione fino al 99%