iProov Threat Intelligence scopre un nuovo strumento di video injection per iOS progettato per sofisticati attacchi deepfake

Il team di intelligence sulle minacce di iProov, fornitore leader mondiale di soluzioni di verifica dell'identità biometrica basate sulla scienza, ha scoperto uno strumento altamente specializzato progettato per eseguire attacchi avanzati di video injection, segnando un'escalation significativa nella frode dell'identità digitale. Lo strumento viene distribuito tramite dispositivi iOS 15 o successivi jailbroken ed è progettato per aggirare i sistemi di verifica biometrica deboli e, soprattutto, per sfruttare i processi di verifica dell'identità che mancano del tutto di protezioni biometriche. Questo sviluppo segnala uno spostamento verso metodi di attacco più programmatici e scalabili.

La scoperta è particolarmente significativa data la sospetta origine cinese dello strumento. Emerge nel contesto di crescenti tensioni geopolitiche legate alla sovranità tecnologica e alla sicurezza delle catene di fornitura digitali. I governi sono sempre più attenti a mitigare i rischi rischi posti dalla tecnologia di Paesi non alleati, rendendo la comparsa di un sofisticato strumento di attacco come questo una questione di interesse per la sicurezza nazionale.

Gli attacchi di tipo digital injection sono metodi sofisticati in cui le immagini dannose vengono inserite direttamente nel flusso di dati video anziché essere presentate a una telecamera. Per questo particolare strumento, il processo si svolge in diverse fasi:

Come funziona l'attacco di iOS Video Injection

1. Prerequisiti: Il gruppo di minacce sostiene che l'attacco utilizza un dispositivo iOS 15 o successivo jailbroken, a cui sono state rimosse le restrizioni di sicurezza native di Apple, consentendo modifiche profonde del sistema.
2. Connessione: L'attaccante utilizza un server RPTM (Remote Presentation Transfer Mechanism) per connettere il proprio computer al dispositivo iOS compromesso.
3. Iniezione: Lo strumento inietta quindi sofisticati deepfakes - una forma di media sintetici creati con l'IA generativa - dal computer direttamente nel flusso video del dispositivo. Questi possono includere scambi di volti, in cui il volto di una vittima viene sovrapposto a un altro video, o rievocazioni di movimento, in cui un'immagine statica viene animata utilizzando i movimenti di un'altra persona.
4. Bypass: Questo processo bypassa completamente la telecamera fisica, ingannando un'applicazione sul dispositivo e facendogli credere che il video fraudolento sia una ripresa in tempo reale.
5. Inganno: Il deepfake viene quindi iniettato nell'applicazione per la verifica dell'identità, consentendo al truffatore di impersonare un utente legittimo o di creare un'identità sintetica.

"La scoperta di questo strumento iOS segna una svolta significativa nel campo delle frodi di identità e conferma la tendenza degli attacchi industrializzati", ha dichiarato Andrew Newell, Chief Scientific Officer di iProov. "La sospetta origine dello strumento è particolarmente preoccupante e dimostra che è essenziale utilizzare una capacità di rilevamento della vivacità in grado di adattarsi rapidamente". Per combattere queste minacce avanzate, le organizzazioni hanno bisogno di controlli di cybersecurity a più livelli, basati su informazioni reali sulle minacce, come quelle analizzate dal Centro operativo per la sicurezza (iSOC) di iProov, combinate con dati biometrici basati sulla scienza e con una capacità di rilevamento della vivacità in grado di adattarsi rapidamente per garantire che l'utente sia la persona giusta, una persona reale, che si autentica in tempo reale".

Un approccio alla difesa su più livelli

L'emergere di attacchi di tipo video injection rende insufficienti i metodi tradizionali di verifica dell'identità. Per combattere questa minaccia, le organizzazioni devono implementare un approccio di difesa a più livelli che confermi contemporaneamente:

• La persona giusta: Corrispondenza tra l'identità presentata e i documenti ufficiali/database per confermare che l'utente è chi dice di essere.
• Una persona reale: L'uso di immagini incorporate e l'analisi dei metadati per rilevare i media dannosi e verificare che l'utente sia un essere umano autentico e non una parodia fisica o digitale.
• In tempo reale: Utilizzo di un'interazione sfida-risposta unica e passiva per garantire che la verifica avvenga in tempo reale e non sia un attacco di replay.
• Rilevamento e risposta gestiti: Combinazione di tecnologie avanzate e competenze umane per il monitoraggio continuo, la risposta agli incidenti e la caccia proattiva alle minacce. Ciò include l'utilizzo di competenze specializzate per l'analisi inversa di potenziali scenari di attacco e la creazione di difese per mitigarli.

Questo approccio a più livelli rende esponenzialmente più difficile per gli aggressori riuscire a falsificare i sistemi di verifica dell'identità. Anche gli attacchi più avanzati faticano a sconfiggere contemporaneamente tutte queste misure di sicurezza, mantenendo le caratteristiche naturali di un'autentica interazione umana.