16 dicembre 2025

iProov si unisce alle principali organizzazioni di sicurezza informatica e tecnologia con contributi nella lotta contro le minacce guidate dall'intelligenza artificiale

 

LONDRA, Regno Unito – 17 dicembre 2025 – Oggi, iProov, fornitore leader mondiale di soluzioni scientifiche per la verifica dell'identità biometrica, ha annunciato che uno scenario di attacco dimostrato dal Red Team interno di iProov è stato pubblicato da MITRE ATLAS™, la base di conoscenza globale che promuove la sicurezza dell'intelligenza artificiale, la mitigazione delle minacce, la robustezza e la privacy. Il caso di studio conferma una vulnerabilità critica e ad alto rischio nel processo di verifica dell'identità a distanza Know Your Customer (KYC), che espone gli utenti di tutto il mondo. 

Il contributo di iProov, che include una panoramica della procedura, dimostra come gli attacchi di iniezione di immagini con sostituzione del volto, facilmente disponibili, possano eludere il KYC mobile . Il caso di studio colloca iProov al fianco di contributi dei principali leader nel campo della sicurezza informatica e della tecnologia, tra cui Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike e Trend Micro, che collaborano tutti per dare forma agli strumenti e ai framework di difesa del futuro.

"La forza di MITRE ATLAS risiede nell'ampiezza e nella qualità della comunità che lo sostiene. I contributi provenienti dal mondo dell'industria, dell'accademia e del governo, che spaziano dai risultati del red team alle informazioni operative sulle minacce, sono essenziali per migliorare l'accuratezza e la completezza della base di conoscenze di MITRE ATLAS. Quando le organizzazioni condividono apertamente dati e competenze, miglioriamo collettivamente la sicurezza e la resilienza dei sistemi basati sull'intelligenza artificiale e della nazione", ha affermato Doug Robbins, vicepresidente di MITRE Labs.

"Negli ultimi 12 mesi abbiamo assistito a un'esplosione dei vettori di attacco relativi alla verifica dell'identità, in gran parte guidata dai progressi nell'intelligenza artificiale generativa e dall'ampia disponibilità di strumenti a basso costo", ha affermato Andrew Newell, Chief Scientific Officer di iProov. "La pubblicazione di questo ultimo caso di studio MITRE ATLAS fa parte del processo fondamentale di identificazione e documentazione di tali metodologie. Il ritmo dell'evoluzione è destinato ad aumentare, rendendo essenziale che tutte le organizzazioni esaminino senza indugio le proprie difese contro queste nuove tattiche".

Questo caso di studio conferma l'importanza fondamentale per le organizzazioni di cercare fornitori che siano stati testati in base al recente standard europeo CEN 18099, che stabilisce rigorosi protocolli di test contro gli attacchi di tipo injection e rappresenta un significativo progresso negli standard di sicurezza per la verifica remota dell'identità.

Comprendere le vulnerabilità

Questa convalida da parte di MITRE evidenzia una grave lacuna nella sicurezza dei settori dei servizi finanziari, bancari e delle criptovalute, dove la verifica remota dell'identità è obbligatoria per l'onboarding e l'autenticazione degli utenti.

La ricerca dimostra perché le soluzioni di vivacità attiva sono particolarmente vulnerabili:

  • Il rilevamento attivo della vitalità si basa sull'analisi degli artefatti dell'immagine e dei movimenti dell'utente, che i sofisticati deepfake generati dall'intelligenza artificiale sono ora in grado di replicare in modo convincente.
  • Sostituendo la fotocamera di un dispositivo mobile con un'applicazione di fotocamera virtuale, gli hacker possono aggirare i controlli di sicurezza a livello di dispositivo.

Riepilogo dell'attacco e impatto sul settore

L'esercitazione di sicurezza condotta dal responsabile del Red Team di iProov, il dottor Panos Papadopoulos, ha preso di mira in modo specifico il cruciale processo di verifica dell'identità noto come Know Your Customer (KYC), comunemente utilizzato dalle applicazioni mobili nei servizi finanziari, bancari e di criptovaluta.

La procedura di attacco prevedeva diversi passaggi complessi:

  1. Ricognizione e sviluppo delle risorse: il Red Team di iProov ha raccolto informazioni sull'identità degli utenti e immagini facciali ad alta definizione da fonti online. Ha ottenuto Faceswap, un'applicazione desktop che utilizza l'intelligenza artificiale generativa per scambiare i volti in un video in tempo reale.
  2. Acquisizione degli strumenti: Hanno quindi utilizzato Open Broadcaster Software (OBS) per trasmettere un video in streaming. Fondamentalmente, hanno acquisito Virtual Camera: Live Assist, un'applicazione Android che consente agli utenti di sostituire il feed della fotocamera predefinita del dispositivo con uno streaming video e che funziona correttamente su dispositivi Android originali e non rootati.
  3. Generazione di deepfake: Utilizzando le immagini raccolte delle vittime, il Red Team ha utilizzato Faceswap per produrre video deepfake dal vivo che imitavano l'aspetto delle vittime.
  4. Accesso iniziale ed elusione: Durante la fase di verifica dell'identità su un'applicazione di servizi finanziari, il team ha trasmesso in streaming il feed video deepfake utilizzando OBS e l'app Virtual Camera. Questo metodo ha consentito di eludere con successo il sistema di verifica della vitalità. 
  5. Furto d'identità: Questa evasione ha permesso al dottor Panos Papadopoulos di autenticarsi con un'identità fittizia, dimostrando che gli avversari potevano ottenere l'accesso ai sistemi privilegiati delle vittime o creare account falsi su app bancarie o di criptovaluta, causando danni finanziari significativi.

L'importanza della verifica continua e degli standard avanzati

 Il contributo di iProov, pubblicato da MITRE ATLAS, fornisce una validazione indipendente e di terze parti delle vulnerabilità critiche nei sistemi mobili di verifica dell'identità KYC. Questa ricerca conferma l'importanza di andare oltre la vulnerabilità della verifica della vitalità non conforme. Il recente standard europeo CEN 18099, che stabilisce rigorosi protocolli di test per il rilevamento della vitalità, rappresenta un significativo progresso negli standard di sicurezza biometrica.

Invito alla collaborazione

Il lavoro svolto dal Red Team di iProov informa gli analisti della sicurezza e gli sviluppatori di IA di tutti i settori sulle minacce realistiche ai sistemi basati sull'IA, consentendo valutazioni delle minacce più informate e un efficace red teaming interno. MITRE incoraggia la collaborazione tra governo, industria e mondo accademico per contribuire a plasmare lo sviluppo futuro di strumenti e framework nella sicurezza dell'IA, nella mitigazione delle minacce, nella robustezza, nella privacy e in altri aspetti critici della garanzia dell'IA.

Informazioni su MITRE ATLAS™

Il framework MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems) è una base di conoscenze dinamica e accessibile a livello globale sulle tattiche e le tecniche degli avversari basata su attacchi reali, modellata sul rinomato framework MITRE ATT&CK®. Caso di studio iProov: "Deepfake Injection Evades Mobile KYC Liveness Verification" ed è approvato per la divulgazione pubblica; distribuzione illimitata (numero di caso 21-2363). MITRE ATLAS™ e MITRE ATT&CK® sono marchi commerciali e marchi registrati di The MITRE Corporation.

20251103 Q4 Threat Intel Comunicato stampa 16x9 v2 2 1
Indice dei contenuti

Continua a leggere

Non è stato trovato nulla