MITRE ATLAS™ menerbitkan kerentanan kritis dalam proses verifikasi identitas KYC yang ditemukan oleh iProov.

iProov bergabung dengan organisasi-organisasi terkemuka di bidang keamanan siber dan teknologi dalam upaya memerangi ancaman yang didorong oleh kecerdasan buatan (AI).

LONDON, Inggris – 17 Desember 2025 – Hari ini, iProov, penyedia terkemuka solusi verifikasi identitas biometrik berbasis sains di dunia, mengumumkan bahwa skenario serangan yang diperagakan oleh tim Red Team internal iProov telah dipublikasikan oleh MITRE ATLAS™, basis pengetahuan global yang mendorong keamanan AI, mitigasi ancaman, ketahanan, dan privasi. Studi kasus ini mengonfirmasi adanya kerentanan kritis berisiko tinggi dalam proses verifikasi identitas jarak jauh Know Your Customer (KYC), yang mengekspos pengguna di seluruh dunia. 

Kontribusi iProov, yang mencakup sebuah ringkasan prosedur, menunjukkan betapa mudahnya serangan injeksi gambar dengan penggantian wajah dapat menghindari verifikasi identitas (KYC) seluler. Studi kasus ini menempatkan iProov bersama kontribusi dari pemimpin keamanan siber dan teknologi terkemuka, termasuk Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike, dan Trend Micro, yang bekerja sama untuk membentuk alat dan kerangka kerja pertahanan masa depan.

“Kekuatan MITRE ATLAS terletak pada luasnya jangkauan dan kualitas komunitas yang mendukungnya. Kontribusi dari berbagai sektor industri, akademisi, dan pemerintah—mulai dari temuan tim merah hingga wawasan ancaman operasional—sangat penting untuk meningkatkan akurasi dan kelengkapan basis pengetahuan MITRE ATLAS. Ketika organisasi secara terbuka berbagi data dan keahlian, kita secara kolektif meningkatkan keamanan dan ketahanan sistem yang didukung AI serta negara,” kata Doug Robbins, wakil presiden, MITRE Labs.

“Kami telah menyaksikan ledakan dalam vektor serangan yang berkaitan dengan verifikasi identitas selama 12 bulan terakhir, yang sebagian besar didorong oleh kemajuan dalam kecerdasan buatan generatif dan ketersediaan luas alat-alat berbiaya rendah,” kata Andrew Newell, Chief Scientific Officer, iProov. “Publikasi studi kasus MITRE ATLAS terbaru ini merupakan bagian dari proses penting dalam mengidentifikasi dan mendokumentasikan metode-metode tersebut. Kecepatan evolusi ini hanya akan terus meningkat, sehingga sangat penting bagi semua organisasi untuk segera mengevaluasi pertahanan mereka terhadap taktik-taktik baru ini tanpa penundaan.”

Studi kasus ini membuktikan pentingnya bagi organisasi untuk mencari penyedia layanan yang telah diuji sesuai dengan standar Eropa terbaru CEN 18099, yang menetapkan protokol pengujian yang ketat terhadap serangan injeksi dan mewakili kemajuan signifikan dalam standar keamanan verifikasi identitas jarak jauh.

Memahami Kerentanan

Validasi oleh MITRE ini menyoroti celah keamanan kritis di sektor layanan keuangan, perbankan, dan kripto, di mana verifikasi identitas jarak jauh wajib dilakukan untuk proses pendaftaran pengguna dan otentikasi.

Penelitian ini menunjukkan mengapa solusi liveness aktif sangat rentan:

• Deteksi keaslian aktif bergantung pada analisis artefak gambar dan gerakan pengguna, yang kini dapat direplikasi dengan meyakinkan oleh deepfakes yang dihasilkan oleh kecerdasan buatan (AI) yang canggih.
• Mengganti kamera perangkat seluler dengan aplikasi kamera virtual memungkinkan penyerang untuk melewati kontrol keamanan tingkat perangkat.

Ringkasan Serangan dan Dampak pada Industri

Latihan keamanan yang dilakukan oleh Kepala Tim Merah iProov, Dr. Panos Papadopoulos, secara khusus menargetkan proses verifikasi identitas yang krusial yang dikenal sebagai Know Your Customer (KYC), yang secara umum digunakan oleh aplikasi seluler di sektor layanan keuangan, perbankan, dan kripto.

Prosedur serangan tersebut melibatkan beberapa langkah yang kompleks:

1. Pengintaian dan Pengembangan Sumber Daya: Tim iProov Red Team mengumpulkan informasi identitas pengguna dan gambar wajah beresolusi tinggi dari sumber online. Mereka memperoleh Faceswap, sebuah aplikasi desktop yang menggunakan kecerdasan buatan generatif untuk mengganti wajah dalam video secara real-time.
2. Pengadaan Alat: Mereka kemudian menggunakan Open Broadcaster Software (OBS) untuk menyiarkan video. Yang penting, mereka menggunakan Virtual Camera: Live Assist, sebuah aplikasi Android yang memungkinkan pengguna mengganti feed kamera default perangkat dengan aliran video, dan aplikasi ini berfungsi dengan baik pada perangkat Android asli yang tidak di-root.
3. Pembuatan Deepfake: Menggunakan gambar korban yang dikumpulkan, Tim Merah menggunakan Faceswap untuk menghasilkan video deepfake langsung yang meniru penampilan korban.
4. Akses Awal dan Penghindaran: Selama tahap verifikasi identitas pada aplikasi layanan keuangan, tim menyiarkan umpan video deepfake menggunakan OBS dan aplikasi Virtual Camera. Metode ini berhasil menghindari sistem verifikasi keaslian. 
5. Peniruan Identitas: Praktik ini memungkinkan Dr. Panos Papadopoulos untuk melakukan autentikasi menggunakan identitas palsu, menunjukkan bahwa penyerang dapat mengakses sistem berprivilese korban atau membuat akun palsu di aplikasi perbankan atau kripto, yang mengakibatkan kerugian finansial yang signifikan.

Pentingnya Verifikasi Berkelanjutan dan Standar Lanjutan

 Kontribusi iProov, yang diterbitkan oleh MITRE ATLAS, memberikan validasi independen dari pihak ketiga terhadap kerentanan kritis dalam sistem verifikasi identitas KYC seluler. Penelitian ini membuktikan pentingnya melampaui metode liveness yang rentan dan tidak mematuhi standar. Standar Eropa terbaru CEN 18099, yang menetapkan protokol pengujian ketat untuk deteksi liveness, mewakili kemajuan signifikan dalam standar keamanan biometrik.

Ajakan untuk Berkolaborasi

Pekerjaan yang dilakukan oleh Tim Merah iProov memberikan informasi kepada analis keamanan dan pengembang AI di berbagai industri tentang ancaman nyata terhadap sistem yang didukung AI, memungkinkan penilaian ancaman yang lebih terinformasi dan pengujian internal Tim Merah yang efektif. MITRE mendorong kolaborasi antar pemerintah, industri, dan akademisi untuk membantu membentuk pengembangan alat dan kerangka kerja di masa depan dalam keamanan AI, mitigasi ancaman, ketahanan, privasi, dan aspek kritis lainnya dari jaminan AI.

Tentang MITRE ATLAS™

Kerangka kerja MITRE ATLAS™ (Lanskap Ancaman Adversarial untuk Sistem AI) adalah basis pengetahuan yang dapat diakses secara global dan terus diperbarui, yang berisi taktik dan teknik penyerang berdasarkan serangan dunia nyata, terinspirasi dari kerangka kerja MITRE ATT&CK® yang terkenal. Studi kasus iProov: “Injeksi Deepfake Mengelabui Verifikasi Keaslian KYC Mobile” dan telah disetujui untuk rilis publik; distribusi tidak terbatas (Nomor Kasus 21-2363). MITRE ATLAS™ dan MITRE ATT&CK® adalah merek dagang dan merek dagang terdaftar milik The MITRE Corporation.