Deepfake expõe falha de segurança em aplicações de reconhecimento facial
Dentre as seis aplicações de métodos de verificação mais comuns avaliadas, quatro delas poderiam ser facilmente contornadas, segundo testes realizados pelos pesquisadoresBy - Liliane Nakagawa, 15 agosto 2022 às 18:04
Os usuários que costumam desbloquear o celular, fazer transações financeiras ou acessar informações sensíveis com a tecnologia de reconhecimento facial podem estar vulneráveis a ataques baseados em deepfake. De acordo com novas pesquisas da Faculdade de Ciências e Tecnologia da Informação do Penn State, a brecha estaria no método específico da tecnologia para detecção do usuário.
Segundo os pesquisadores, a maioria das interfaces de programação de aplicações que usam vivacidade facial – a forma do reconhecimento facial que utiliza a visão do computador de confirmar a presença de usuário ao vivo – falham em detectar deepfake (fotos ou vídeos digitalmente alterados para parecerem versões ao vivo de outro indivíduo). Eles também descobriram que os aplicativos que usam essa medida de detecção são também significantemente menos eficazes em identificar deepfake comparadas às garantias dadas pelo fornecedor.
“Nos últimos anos observamos um desenvolvimento significativo de tecnologias de autenticação e verificação facial, que foram implantadas em muitas aplicações críticas de segurança”, disse Ting Wang, professor associado de ciências e tecnologia da informação e um dos principais pesquisadores do projeto. “Enquanto isso, vimos também avanços substanciais em tecnologias de deepfake, tornando bastante fácil sintetizar imagens faciais com aparência ao vivo e vídeo a baixo custo. Assim, fazemos a interessante pergunta: é possível que atacantes maliciosos usem mal as deepfakes para enganar os sistemas de verificação facial”?
O estudo, apresentado na semana passada no simpósio Usenix Security, é o primeiro sobre a segurança da verificação da vivacidade fácil em cenários práticos.
Testes
Para o estudo, Wang e a equipe desenvolveram uma estrutura de ataque de deepfake para avaliar a segurança personalizável e automatizada da verificação da vivacidade facial. Com o LiveBugger, eles avaliaram seis interfaces de programação de aplicações comerciais líderes fornecidas.
Com imagens e vídeos falsos obtidos de dois conjuntos de dados separados, o LiveBugger tentou enganar os métodos de verificação de vivacidade facial dos aplicativos, que analisam imagens estáticas ou em vídeo do rosto do usuário, timbre de voz ou medem a resposta para executar uma ação sob comando para verificar a identidade do usuário.
Dentre as seis aplicações de métodos de verificação mais comuns avaliadas, quatro delas poderiam ser facilmente contornadas, de acordo com as descobertas dos pesquisadores. Além de identificar as falhas, eles também descreveram como a estrutura contornou esses métodos e sugeriram como melhorar a segurança da tecnologia.
“Embora a verificação da vivacidade facial possa se defender contra muitos ataques, o desenvolvimento de tecnologias de deepfakes levanta uma nova ameaça contra ela, sobre a qual pouco se sabe até agora”, disse Changjiang Li, doutorando em ciências e tecnologia da informação e coautora do artigo. “Nossas descobertas são úteis para que os fornecedores consertem as vulnerabilidades de seus sistemas”.
Como melhorar a segurança do reconhecimento facial
Uma das sugestões dos pesquisadores foi eliminar métodos de verificação que se baseiam em apenas imagens estáticas da face do usuário, combinar elementos labiais com a voz em métodos que analisam áudio e vídeo.
Ao concluir a pesquisa, os pesquisadores também relataram as descobertas aos fornecedores das aplicações usadas no estudo.
“A verificação da vivacidade facial foi aplicada em muitos cenários críticos, tais como pagamentos on-line, bancos on-line e serviços governamentais”, disse Wang. “Além disso, um número crescente de plataformas de nuvem começou a fornecer verificação da vivacidade facial como plataforma como serviço, o que reduz significativamente o custo e diminui a barreira para que as empresas implantem a tecnologia em seus produtos. Portanto, a segurança da verificação da vivacidade facial é altamente preocupante”.
Ainda de acordo com os pesquisadores, quaisquer vulnerabilidades nestes produtos poderiam ser herdadas pelos outros aplicativos que os utilizam, ameaçando potencialmente milhões de usuários.
Via Tech Xplore
Comentários