Tantangan Serangan Putar Ulang

Ditulis oleh Andrew Bud, CEO & Pendiri

Ketika kami meluncurkan iProov pada tahun 2013, sudah jelas bagi kami bahwa "serangan replay" akan menjadi salah satu ancaman yang paling berbahaya bagi verifikasi wajah. Ini terjadi ketika sebuah aplikasi, perangkat, tautan komunikasi, atau toko disusupi dan gambar video korban dicuri; gambar yang dicuri kemudian digunakan untuk menyamar sebagai korban. Sejak awal, kami merancang sistem kami agar sangat tahan terhadap bahaya ini. Namun, baru sekarang pasar mulai memahami bahaya serangan pemutaran ulang.

Apa yang dimaksud dengan serangan ulangan dan bagaimana cara menangkalnya?

Semakin sedikit orang yang masih percaya bahwa pengenalan wajah adalah kunci keamanan verifikasi wajah. Sebenarnya tidak. Secara praktis, akan sangat bodoh jika seorang penjahat mencoba meniru korban dengan mencoba untuk terlihat seperti mereka - hal ini sangat sulit dilakukan dan sangat kecil kemungkinannya untuk berhasil sehingga hampir tidak ada gunanya. Karena wajah kita semua bersifat publik dan mudah ditiru, maka jauh lebih efektif untuk menampilkan citra korban. Sebagian besar pelaku industri masih berfokus pada salinan artefak - foto, gambar layar (gambar diam atau video) atau topeng. Banyak energi yang dihabiskan untuk masker. Real-f Co, yang berbasis di Jepang, menciptakan beberapa topeng paling realistis yang tersedia - tekstur pori-pori kulitnya sempurna dan bahkan saluran air matanya berkilau. Meskipun secara visual sangat menarik, karya seni semacam itu bisa mencapai harga $10.000. Topeng bukanlah cara yang terukur untuk menyerang korban dalam jumlah besar secara ekonomis. Tentu saja, deteksi topeng yang kuat sangat penting, tetapi ada bahaya yang lebih besar.

Jika penyerang dapat menanamkan malware pada perangkat pengguna, misalnya dengan membuat pengguna mengklik tautan jahat, malware tersebut berpotensi mendapatkan akses ke gambar yang diambil oleh aplikasi pada perangkat. Hal ini berlaku untuk semua aplikasi, tidak peduli seberapa kuat aplikasi tersebut telah dilindungi. Langkah-langkah pengerasan aplikasi tidak memblokir serangan, tetapi hanya meningkatkan upaya yang harus dilakukan penyerang untuk berhasil. Dan jika hadiahnya adalah akses ke jutaan perangkat, maka dorongan bisnis untuk melakukannya sangat menarik. Inilah sebabnya, di iProov, kami tidak pernah mengandalkan integritas perangkat. Setelah dicuri, video akan diputar ulang secara digital ke dalam perangkat jahat, melewati kamera dan tidak pernah muncul di layar sama sekali.

Itulah mengapa teknologi Flashmark inti kami membuat setiap video verifikasi menjadi unik. Flashmark menyinari wajah pengguna dengan urutan warna satu kali dari layar perangkat. Wajah yang disinari inilah yang kami sebut sebagai "biometrik sekali pakai". Seperti kode sandi sekali pakai, nomor yang dikirim melalui pesan teks untuk mengautentikasi ke banyak layanan yang aman, kode ini akan usang segera setelah digunakan dan tidak berharga jika dicuri.

Malware atau serangan apa pun yang mencoba mencuri video wajah dengan Flashmarked ternyata sama sekali tidak berguna - dengan urutan warna yang salah pada wajah, video tersebut akan segera terdeteksi dan ditolak. Teknologi yang sama ini juga memberikan satu-satunya pertahanan yang kuat dalam industri ini terhadap gambar animasi, video sintetis, dan Deepfakes, ancaman yang telah disoroti iProov selama beberapa tahun.

Keuntungan besar dari teknologi ini adalah bahwa teknologi ini sangat berguna. Metode pertahanan replay lainnya menghancurkan kegunaan dengan membombardir pengguna dengan instruksi yang semakin membingungkan untuk menggerakkan kepala mereka ke satu arah, lalu telepon mereka ke arah lain, lalu melafalkan angka, dll. Seringkali, mereka gagal karena pengguna tidak melakukan apa yang diperintahkan atau karena memang tidak mungkin untuk memahami instruksinya. iProov Flashmark sepenuhnya pasif - tidak ada tindakan yang diperlukan dari pengguna, sehingga tingkat keberhasilan transaksi sangat tinggi.

Saran bahwa perangkat pengguna tidak dapat diretas, atau bahwa aplikasi seluler dapat dibuat tidak dapat diretas, adalah hal yang menyesatkan dan berbahaya. Kami percaya bahwa inti dari keamanan biometrik yang baik adalah kemampuan untuk mendeteksi dan menangkis serangan berdasarkan rekaman yang dicuri dan citra digital lainnya yang diputar ulang, yang secara langsung disuntikkan ke dalam aliran data. Apa pun yang kurang dari itu akan mengecewakan perusahaan dan penggunanya.