Компания по информационной безопасности Sensity, специализирующаяся на кибератаках, с помощью deepfake провела исследование уязвимости на 10 сервисах идентификации пользователей, используемых в разных учреждениях. Для распознавания там используются liveness тесты, при которых пользователя просят смотреть в камеру и совершить какие-то действия для сравнения личности.
Специалисты из Sensity для проверки сервисов распознавания использовали дипфейки. Они накладывали лицо пользователя на идентификационную карту для сканирования, а потом копировали его в видеопоток. Протестировав 10 сервисов, они обнаружили, что 9 из них уязвимы для дипфейков.
Компания отправила свой отчет разработчикам сервисов, но, по их словам, создатели сервисов посчитали уязвимость некритичной.
Франческо Кавалли
Главный операционный директор Sensity
«Мы сообщили поставщикам, что сервисы уязвимы для deepfake атак. Разработчики проигнорировали опасность. Мы решили опубликовать отчет, так как общественность должна знать об этих угрозах».
Данные тесты используются много где: от банков и прочих финансово ориентированных компаний до приложений для знакомств.
По словам экспертов Sensity, хакеры могут перехватить видеопоток с камеры телефона и использовать deepfake технологию с целью кражи данных или финансов пользователя. Но есть и ложка меда: систему распознавания лиц Face ID нельзя обойти таким образом. Система использует не только датчики глубины и проверку личности на основе внешнего вида, но и сравнивает физическую форму лица.
