16 de dezembro de 2025

A iProov junta-se a organizações líderes em cibersegurança e tecnologia com contribuições na luta contra ameaças impulsionadas pela IA.

 

LONDRES, Reino Unido – 17 de dezembro de 2025 – Hoje, a iProov, fornecedora líder mundial de soluções de verificação de identidade biométrica com base científica, anunciou que um cenário de ataque demonstrado pela equipe interna Red Team da iProov foi publicado pela MITRE ATLAS™, a base de conhecimento global que promove a segurança da IA, a mitigação de ameaças, a robustez e a privacidade. O estudo de caso confirma uma vulnerabilidade crítica e de alto risco no processo de verificação remota de identidade Know Your Customer (KYC), expondo usuários em todo o mundo. 

A contribuição da iProov, que inclui uma visão geral do procedimento, demonstra como ataques de injeção de imagens com troca de rosto prontamente disponíveis podem burlar o KYC móvel. O estudo de caso coloca a iProov ao lado de contribuições de líderes em segurança cibernética e tecnologia, incluindo Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike e Trend Micro, todos trabalhando em colaboração para moldar as ferramentas e estruturas de defesa do futuro.

“A força do MITRE ATLAS reside na amplitude e qualidade da comunidade que o apoia. As contribuições de toda a indústria, academia e governo — desde descobertas da equipe vermelha até insights operacionais sobre ameaças — são essenciais para promover a precisão e a integridade da base de conhecimento do MITRE ATLAS. Quando as organizações compartilham abertamente dados e conhecimentos, melhoramos coletivamente a segurança e a resiliência dos sistemas habilitados para IA e da nação”, disse Doug Robbins, vice-presidente do MITRE Labs.

“Nos últimos 12 meses, observamos uma explosão nos vetores de ataque relacionados à verificação de identidade, impulsionada principalmente pelos avanços na IA generativa e pela ampla disponibilidade de ferramentas de baixo custo”, afirmou Andrew Newell, diretor científico da iProov. “A publicação deste último estudo de caso do MITRE ATLAS faz parte do processo vital de identificação e documentação dessas metodologias. É provável que o ritmo da evolução só aumente, tornando essencial que todas as organizações examinem suas próprias defesas contra essas novas táticas sem demora.”

Este estudo de caso valida a importância crítica para as organizações de procurarem fornecedores que tenham sido testados de acordo com a recente norma europeia CEN 18099, que estabelece protocolos de teste rigorosos contra ataques de injeção e representa um avanço significativo nas normas de segurança de verificação remota de identidade.

Compreendendo as vulnerabilidades

Essa validação pela MITRE destaca uma lacuna crítica de segurança nos setores de serviços financeiros, bancários e de criptomoedas, onde a verificação remota de identidade é obrigatória para o cadastro e a autenticação de usuários.

A pesquisa demonstra por que as soluções de vivacidade ativa são particularmente vulneráveis:

  • A detecção ativa de vivacidade depende da análise de artefatos de imagem e do movimento do usuário, que deepfakes sofisticados gerados por IA agora podem replicar de forma convincente.
  • Substituir a câmera de um dispositivo móvel por um aplicativo de câmera virtual permite que invasores contornem os controles de segurança do dispositivo.

Resumo do ataque e impacto no setor

O exercício de segurança conduzido pelo chefe da equipe vermelha da iProov, Dr. Panos Papadopoulos, teve como alvo específico o processo crucial de verificação de identidade conhecido como Know Your Customer (KYC), comumente usado por aplicativos móveis em serviços financeiros, bancos e criptomoedas.

O procedimento do ataque envolveu várias etapas complexas:

  1. Reconhecimento e desenvolvimento de recursos: A equipe vermelha da iProov coletou informações de identidade dos usuários e imagens faciais de alta definição de fontes online. Eles obtiveram o Faceswap, um aplicativo para desktop que usa IA generativa para trocar rostos em um vídeo em tempo real.
  2. Aquisição de ferramentas: Em seguida, eles usaram o Open Broadcaster Software (OBS) para transmitir um vídeo. Fundamentalmente, eles adquiriram o Virtual Camera: Live Assist, um aplicativo Android que permite aos usuários substituir a transmissão padrão da câmera do dispositivo por uma transmissão de vídeo, e que funciona corretamente em dispositivos Android genuínos e não rootados.
  3. Geração de deepfakes: Usando as imagens coletadas das vítimas, a Equipe Vermelha utilizou o Faceswap para produzir vídeos deepfake ao vivo que imitavam a aparência das vítimas.
  4. Acesso inicial e evasão: Durante a fase de verificação de identidade em um aplicativo de serviços financeiros, a equipe transmitiu o feed de vídeo deepfake usando o OBS e o aplicativo Virtual Camera. Esse método conseguiu burlar o sistema de verificação de vida. 
  5. Falsificação de identidade: Essa evasão permitiu que o Dr. Panos Papadopoulos se autenticasse com uma identidade fictícia, demonstrando que os adversários poderiam obter acesso aos sistemas privilegiados da vítima ou criar contas falsas em aplicativos bancários ou de criptomoedas, resultando em prejuízos financeiros significativos.

A importância da verificação contínua e das normas avançadas

 A contribuição da iProov, publicada pela MITRE ATLAS, fornece uma validação independente e terceirizada das vulnerabilidades críticas nos sistemas móveis de verificação de identidade KYC. Esta pesquisa valida a importância de ir além da vulnerabilidade da não conformidade com a detecção de vida. A recente norma europeia CEN 18099, que estabelece protocolos de teste rigorosos para a detecção de vida, representa um avanço significativo nas normas de segurança biométrica.

Convite à colaboração

O trabalho realizado pela equipe vermelha da iProov informa analistas de segurança e desenvolvedores de IA de todos os setores sobre ameaças reais aos sistemas habilitados para IA, permitindo avaliações de ameaças mais informadas e uma equipe vermelha interna mais eficaz. A MITRE incentiva a colaboração entre o governo, a indústria e a academia para ajudar a moldar o desenvolvimento futuro de ferramentas e estruturas em segurança de IA, mitigação de ameaças, robustez, privacidade e outros aspectos críticos da garantia de IA.

Sobre o MITRE ATLAS™

A estrutura MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems) é uma base de conhecimento viva e acessível globalmente sobre táticas e técnicas adversárias baseadas em ataques reais, inspirada na renomada estrutura MITRE ATT&CK®. Estudo de caso da iProov: “Deepfake Injection Evades Mobile KYC Liveness Verification” e está aprovado para divulgação pública; distribuição ilimitada (número do caso 21-2363). MITRE ATLAS™ e MITRE ATT&CK® são marcas comerciais e marcas registradas da The MITRE Corporation.

20251103 Comunicado à imprensa sobre ameaças de segurança no quarto trimestre 16x9 v2 2 1
Índice

Continue lendo

Nada encontrado