iProov, een leverancier van oplossingen voor biometrische identiteitsverificatie, heeft aangekondigd dat aanvalsscenario’s die door het interne Red Team zijn gedemonstreerd, zijn gepubliceerd door MITRE ATLAS, de wereldwijde kennisbank voor AI-beveiliging, bedreigingsbeperking, veerkracht en privacy.
Deze casestudy bevestigt een kwetsbaarheid met een hoog risico in het proces van identiteitsverificatie op afstand, waardoor gebruikers wereldwijd worden blootgesteld.
De bijdrage van iProov omvat gedetailleerde procedures die laten zien hoe een face-swap image injection-aanval mobiele Know Your Customer (KYC)-systemen kan omzeilen.
Het onderzoek positioneert iProov naast bijdragen van organisaties als Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike en Trend Micro, die allemaal werken aan de ontwikkeling van toekomstige AI-verdedigingskaders.
“Bijdragen uit de hele industrie, de academische wereld en de overheid, van bevindingen van het rode team tot inzichten in operationele dreigingen, zijn van cruciaal belang voor het verbeteren van de nauwkeurigheid en volledigheid van de MITRE ATLAS-kennisbank. Wanneer organisaties openlijk gegevens en expertise delen, verbeteren we gezamenlijk de veiligheid en veerkracht van AI-ondersteunde systemen.”
zei Doug Robbins, vice-president van MITRE Labs.
Andrew Newell, Chief Scientific Officer bij iProov, voegde toe:
“We hebben de afgelopen twaalf maanden een explosie gezien van aanvalsvectoren met betrekking tot identiteitsverificatie, grotendeels gedreven door de vooruitgang in generatieve AI en de beschikbaarheid van goedkope tools. De publicatie van deze nieuwste MITRE ATLAS-casestudy maakt deel uit van een belangrijk proces voor het identificeren en documenteren van dergelijke methodologieën.”
Het Red Team heeft aangetoond dat door AI gegenereerde deepfakes en virtuele cameratoepassingen actieve detectie van liveness kunnen omzeilen. Dit systeem analyseert beeldartefacten en gebruikersbewegingen.
Door tijdens mobiele KYC een deepfake-videofeed te streamen, heeft het team zich met succes kunnen authenticeren met een fictieve identiteit. Dit benadrukt de risico’s voor het bankwezen, de financiële dienstverlening en cryptocurrency-toepassingen.
Het onderzoek van iProov versterkt de behoefte aan continue verificatie. Het onderstreept ook het belang van naleving van strenge normen, zoals de Europese CEN 18099, die robuuste testprotocollen voor de detectie van levend gedrag vastlegt.
Dit werk is bedoeld om informatie te verstrekken aan beveiligingsanalisten en AI-ontwikkelaars in alle sectoren. Dit stimuleert samenwerking om de AI-beveiliging, de beperking van bedreigingen en de privacypraktijken te versterken.
Uitgelichte afbeelding: Bewerkt door Fintech News Singapore, gebaseerd op afbeelding van sumitbiswas35244 via Freepik
