iProov, ein Anbieter von Lösungen zur biometrischen Identitätsprüfung, gab bekannt, dass ein von seinem hauseigenen Red Team demonstriertes Angriffsszenario von MITRE ATLAS, einer globalen Wissensdatenbank für KI-Sicherheit, Bedrohungsminderung, Robustheit und Datenschutz, veröffentlicht wurde.
Die Fallstudie bestätigt eine hochriskante Sicherheitslücke bei Remote-Identitätsüberprüfungsprozessen, die Benutzer weltweit gefährdet.
Der Beitrag von iProov umfasst ein detailliertes Verfahren, das zeigt, wie Face-Swapping-Imagery-Injection-Angriffe mobile Know Your Customer (KYC)-Systeme umgehen können.
Die Studie stellt iProov neben Beiträgen von Organisationen wie Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike und Trend Micro, die alle daran arbeiten, die Entwicklung zukünftiger KI-Verteidigungs-Frameworks voranzutreiben.
„Beiträge aus Industrie, Wissenschaft und Regierung, die von Red-Team-Erkenntnissen bis hin zu Einblicken in betriebliche Bedrohungen reichen, sind für die Verbesserung der Genauigkeit und Vollständigkeit der MITRE ATLAS-Wissensdatenbank von entscheidender Bedeutung. Wenn Organisationen Daten und Fachwissen offen austauschen, verbessern wir gemeinsam die Sicherheit und Widerstandsfähigkeit KI-fähiger Systeme.“
sagte Doug Robbins, Vizepräsident von MITRE Labs.
Andrew Newell, Chief Scientific Officer bei iProov, fügte hinzu:
„Wir haben in den letzten 12 Monaten eine explosionsartige Zunahme der Angriffsvektoren im Zusammenhang mit der Identitätsüberprüfung erlebt, die größtenteils auf Fortschritte in der generativen KI und die breite Verfügbarkeit kostengünstiger Tools zurückzuführen ist. Die Veröffentlichung dieser neuesten MITRE ATLAS-Fallstudie ist Teil des wichtigen Prozesses zur Identifizierung und Dokumentation solcher Methoden.“
Das Rote Team hat gezeigt, dass KI-generierte Deepfakes und virtuelle Kameraanwendungen die aktive Liveness-Erkennung umgehen können. Dieses System analysiert Bildartefakte und Benutzerbewegungen.
Durch das Streamen von Deepfake-Video-Feeds während des mobilen KYC konnte sich das Team erfolgreich unter einer fiktiven Identität authentifizieren. Dies verdeutlicht Risiken für Bank-, Finanzdienstleistungs- und Kryptowährungsanwendungen.
Die Forschung von iProov unterstreicht die Notwendigkeit einer kontinuierlichen Überprüfung. Es unterstreicht auch die Bedeutung der Einhaltung strenger Standards wie der europäischen CEN 18099, die robuste Testprotokolle für die Lebenderkennung festlegt.
Die Arbeit zielt darauf ab, Sicherheitsanalysten und KI-Entwickler branchenübergreifend zu informieren. Es fördert die Zusammenarbeit zur Stärkung der KI-Sicherheit, der Bedrohungsabwehr und der Datenschutzpraktiken.
Hervorgehobener Bildnachweis: Bearbeitet von Fintech News Singapore, basierend auf dem Bild von sumitbiswas35244 über Freepik
