iProov, een leverancier van oplossingen voor biometrische identiteitsverificatie, heeft aangekondigd dat een aanvalsscenario, gedemonstreerd door het interne Red Team, is gepubliceerd door MITRE ATLAS, een wereldwijde kennisbank voor AI-beveiliging, bedreigingsbeperking, robuustheid en privacy.
De casestudy bevestigt een kwetsbaarheid met een hoog risico in processen voor identiteitsverificatie op afstand, waardoor gebruikers wereldwijd worden blootgesteld.
De bijdrage van iProov omvat een gedetailleerde procedure die laat zien hoe face-swapped imagery-injectieaanvallen mobiele Know Your Customer (KYC)-systemen kunnen omzeilen.
Het onderzoek plaatst iProov naast bijdragen van organisaties als Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike en Trend Micro, die allemaal werken aan de ontwikkeling van toekomstige AI-verdedigingsframeworks.
“Bijdragen uit de hele industrie, de academische wereld en de overheid, variërend van bevindingen van het rode team tot inzichten in operationele dreigingen, zijn essentieel voor het bevorderen van de nauwkeurigheid en volledigheid van de MITRE ATLAS-kennisbasis. Wanneer organisaties openlijk gegevens en expertise delen, verbeteren we gezamenlijk de veiligheid en veerkracht van op AI gebaseerde systemen”,
zei Doug Robbins, vice-president van MITRE Labs.
Andrew Newell, Chief Scientific Officer bij iProov, voegde toe:
“We hebben de afgelopen twaalf maanden een explosie gezien in aanvalsvectoren met betrekking tot identiteitsverificatie, grotendeels gedreven door de vooruitgang in generatieve AI en de brede beschikbaarheid van goedkope tools. De publicatie van deze nieuwste MITRE ATLAS-casestudy maakt deel uit van het cruciale proces van het identificeren en documenteren van dergelijke methodologieën.”
Het Red Team heeft aangetoond dat door AI gegenereerde deepfakes en virtuele cameratoepassingen actieve detectie van liveness kunnen omzeilen. Dit systeem analyseert beeldartefacten en gebruikersbewegingen.
Door deepfake-videofeeds te streamen tijdens mobiele KYC kon het team zich met succes authenticeren onder een fictieve identiteit. Dit benadrukt de risico’s voor het bankwezen, de financiële dienstverlening en cryptocurrency-toepassingen.
Het onderzoek van iProov versterkt de behoefte aan continue verificatie. Het onderstreept ook het belang van het naleven van strenge normen, zoals de Europese CEN 18099, die robuuste testprotocollen voor de detectie van levend gedrag vastlegt.
Het werk is bedoeld om beveiligingsanalisten en AI-ontwikkelaars in alle sectoren te informeren. Het moedigt samenwerking aan om de AI-beveiliging, de beperking van bedreigingen en de privacypraktijken te versterken.
Uitgelichte afbeelding: Bewerkt door Fintech News Singapore, gebaseerd op afbeelding van sumitbiswas35244 via Freepik
