Uma vulnerabilidade crítica de verificação do tipo “Conheça Seu Cliente” (KYC) de alto risco no processo remoto de verificação de identidade descoberta pela equipe vermelha da iProov, e que expõe usuários em todo o mundo foi publicada ontem pela MITRE ATLAS.
A contribuição da iProov, que inclui uma visão geral do procedimento, demonstra como ataques de injeção de imagens com troca de rostos (face swap), facilmente disponíveis, podem burlar o KYC em dispositivos móveis. O estudo de caso coloca a empresa ao lado de contribuições de líderes em cibersegurança e tecnologia como a Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike e Trend Micro, todos trabalhando em conjunto para moldar as futuras ferramentas e estruturas de defesa.
“A força do MITRE ATLAS reside na amplitude e na qualidade da comunidade que nos apoia. Contribuições de toda a indústria, da academia e do governo – desde descobertas de equipes vermelhas até insights sobre ameaças operacionais – são essenciais para aprimorar a precisão e a abrangência da base da nossa base de conhecimento. Quando as organizações compartilham dados e conhecimento especializado abertamente, coletivamente aumentamos a segurança e a resiliência dos sistemas habilitados por IA e da nação”, afirma Doug Robbins, vice-presidente do MITRE Labs.
O Diretor Científico da iProov, Andrew Newell, destacou que a publicação deste mais recente estudo de caso pela MITRE ATLAS integra o processo vital de identificação e documentação dessas metodologias.
“Observamos uma explosão de vetores de ataque relacionados à verificação de identidade nos últimos 12 meses, impulsionada principalmente pelos avanços em IA generativa e pela ampla disponibilidade de ferramentas de baixo custo. O ritmo da evolução provavelmente só aumentará, tornando essencial que todas as organizações examinem, o quanto antes, suas próprias defesas contra essas novas táticas.”
O estudo de caso valida a importância crucial de as organizações buscarem fornecedores que tenham sido testados de acordo com a recente norma europeia CEN 18099, a qual estabelece protocolos de teste rigorosos contra ataques de injeção, e representa um avanço significativo nos padrões de segurança de verificação remota de identidade.
Compreendendo as vulnerabilidades
A validação pela MITRE destaca uma lacuna crítica de segurança nos setores de serviços financeiros, bancários e de criptomoedas, nos quais a verificação remota de identidade é obrigatória para o cadastro e autenticação de usuários.
A publicação demonstra que as soluções de interação ativa são particularmente vulneráveis porque a detecção ativa de vivacidade depende da análise de artefatos de imagem e do movimento do usuário, que agora podem ser replicados de forma convincente por deepfakes sofisticados gerados por IA. Além disso, substituir a câmera de um dispositivo móvel por um aplicativo de câmera virtual permite que invasores contornem os controles de segurança do dispositivo.
Resumo do ataque e impacto na indústria
O exercício de segurança conduzido pelo chefe da equipe vermelha da iProov, Dr. Panos Papadopoulos, teve como alvo específico o processo crucial de verificação de identidade conhecido como Conheça Seu Cliente (KYC), comumente utilizado por aplicativos móveis em serviços financeiros, bancários e de criptomoedas.
O procedimento de ataque envolveu várias etapas complexas:
- Reconhecimento e Desenvolvimento de Recursos: A equipe vermelha da iProov coletou informações de identidade de usuários e imagens faciais de alta definição de fontes online. Eles obtiveram o Faceswap, um aplicativo para desktop que usa IA generativa para trocar rostos em um vídeo em tempo real.
- Aquisição de ferramentas: Em seguida, foi utilizado Open Broadcaster Software (OBS) para transmitir um vídeo. A equipe adquiriu o Virtual Camera: Live Assist, um aplicativo para Android que permite aos usuários substituírem a câmera padrão do dispositivo por uma transmissão de vídeo, e que funciona com sucesso em dispositivos Android genuínos, sem root.
- Geração de Deepfakes: Usando as imagens das vítimas coletadas, a equipe vermelha utilizou o Faceswap para produzir vídeos deepfake ao vivo que imitavam a aparência das vítimas.
- Acesso inicial e evasão: Durante a fase de verificação de identidade em um aplicativo de serviços financeiros, a equipe da iProov transmitiu o vídeo deepfake usando o OBS e o aplicativo Virtual Camera, método que conseguiu burlar o sistema de detecção de presença.
- Falsificação de identidade: Essa evasão permitiu que o Dr. Panos Papadopoulos se autenticasse sob uma identidade fictícia, demonstrando que criminosos podem obter acesso a sistemas privilegiados de uma vítima ou criar contas falsas em aplicativos bancários ou de criptomoedas, resultando em prejuízos financeiros significativos.
