16 de dezembro de 2025

A iProov se une a organizações líderes em segurança cibernética e tecnologia, contribuindo para a luta contra ameaças impulsionadas por IA

 

LONDRES, Reino Unido – 17 de dezembro de 2025 – Hoje, a iProov, líder mundial em soluções de verificação de identidade biométrica baseadas na ciência, anunciou que um cenário de ataque demonstrado pela Equipe Vermelha interna da iProov foi publicado pela MITRE ATLAS™, a base de conhecimento global que promove a segurança em IA, a mitigação de ameaças, a robustez e a privacidade. O estudo de caso confirma uma vulnerabilidade crítica e de alto risco no processo de verificação remota de identidade Know Your Customer (KYC), expondo usuários em todo o mundo. 

A contribuição da iProov, que inclui uma visão geral do procedimento, demonstra como ataques de injeção de imagens com troca de rosto, facilmente disponíveis, podem burlar o KYC móvel. O estudo de caso coloca a iProov ao lado de contribuições de líderes em segurança cibernética e tecnologia, incluindo Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike e Trend Micro, todos trabalhando em colaboração para moldar futuras ferramentas e estruturas de defesa.

“A força do MITRE ATLAS reside na amplitude e na qualidade da comunidade que o apoia. As contribuições provenientes do setor privado, do meio acadêmico e do governo — que vão desde descobertas de equipes de simulação de ataques até insights operacionais sobre ameaças — são essenciais para aprimorar a precisão e a abrangência da base de conhecimento do MITRE ATLAS. Quando as organizações compartilham abertamente dados e conhecimentos especializados, reforçamos coletivamente a segurança e a resiliência dos sistemas baseados em IA e do país”, afirmou Doug Robbins, vice-presidente do MITRE Labs.

“Temos observado uma explosão nos vetores de ataque relacionados à verificação de identidade nos últimos 12 meses, impulsionada em grande parte pelos avanços na IA generativa e pela ampla disponibilidade de ferramentas de baixo custo”, afirmou Andrew Newell, diretor científico da iProov. “A publicação deste mais recente estudo de caso do MITRE ATLAS faz parte do processo vital de identificar e documentar tais metodologias. É provável que o ritmo dessa evolução só venha a aumentar, tornando essencial que todas as organizações examinem sem demora suas próprias defesas contra essas novas táticas.”

Este estudo de caso confirma a importância fundamental de as organizações procurarem fornecedores que tenham sido testados de acordo com a recente norma europeia CEN 18099, que estabelece protocolos de teste rigorosos contra ataques de injeção e representa um avanço significativo nas normas de segurança para a verificação remota de identidade.

Compreendendo as vulnerabilidades

Essa validação realizada pela MITRE destaca uma lacuna crítica de segurança nos setores de serviços financeiros, bancário e de criptomoedas, onde a verificação remota de identidade é obrigatória para a integração e autenticação de usuários.

A pesquisa demonstra por que as soluções de interatividade ativa são particularmente vulneráveis:

  • A detecção de atividade se baseia na análise de artefatos de imagem e nos movimentos do usuário, que agora podem ser reproduzidos de forma convincente por deepfakes sofisticados gerados por IA.
  • Substituir a câmera de um dispositivo móvel por um aplicativo de câmera virtual permite que os invasores contornem os controles de segurança do dispositivo.

Resumo do ataque e impacto no setor

O exercício de segurança conduzido pelo chefe da equipe iProov Red Team, Dr. Panos Papadopoulos, teve como alvo específico o processo crucial de verificação de identidade conhecido como Know Your Customer (KYC), comumente utilizado por aplicativos móveis nos setores de serviços financeiros, bancário e de criptomoedas.

O procedimento do ataque envolveu várias etapas complexas:

  1. Reconhecimento e desenvolvimento de recursos: A equipe iProov Red Team coletou informações de identidade dos usuários e imagens faciais em alta definição de fontes online. Eles obtiveram o Faceswap, um aplicativo para desktop que usa IA generativa para trocar rostos em um vídeo em tempo real.
  2. Aquisição de ferramentas: Em seguida, eles utilizaram o Open Broadcaster Software (OBS) para transmitir um vídeo. Fundamentalmente, eles adquiriram o Virtual Camera: Live Assist, um aplicativo para Android que permite aos usuários substituir a imagem da câmera padrão do dispositivo por uma transmissão de vídeo, e que funciona corretamente em dispositivos Android originais e não rooteados.
  3. Geração de deepfakes: Usando as imagens das vítimas coletadas, a Equipe Vermelha utilizou o Faceswap para produzir vídeos deepfake ao vivo que imitavam a aparência das vítimas.
  4. Acesso inicial e evasão: Durante a etapa de verificação de identidade em um aplicativo de serviços financeiros, a equipe transmitiu o feed de vídeo deepfake usando o OBS e o aplicativo Virtual Camera. Esse método conseguiu burlar o sistema de verificação de vida. 
  5. Falsificação de identidade: Essa evasão permitiu que o Dr. Panos Papadopoulos se autenticasse sob uma identidade fictícia, demonstrando que adversários poderiam obter acesso aos sistemas privilegiados de uma vítima ou criar contas falsas em aplicativos bancários ou de criptomoedas, resultando em prejuízos financeiros significativos.

A importância da verificação contínua e das normas avançadas

 A contribuição da iProov, publicada pelo MITRE ATLAS, oferece uma validação independente e realizada por terceiros das vulnerabilidades críticas em sistemas móveis de verificação de identidade KYC. Esta pesquisa confirma a importância de ir além dos métodos de verificação de vitalidade vulneráveis e não conformes. A recente norma europeia CEN 18099, que estabelece protocolos de teste rigorosos para a detecção de vitalidade, representa um avanço significativo nas normas de segurança biométrica.

Convite à colaboração

O trabalho realizado pela iProov Red Team fornece informações a analistas de segurança e desenvolvedores de IA de diversos setores sobre ameaças realistas a sistemas baseados em IA, permitindo avaliações de ameaças mais bem fundamentadas e atividades internas de red teaming eficazes. O MITRE incentiva a colaboração entre o governo, a indústria e a academia para ajudar a moldar o desenvolvimento futuro de ferramentas e estruturas nas áreas de segurança de IA, mitigação de ameaças, robustez, privacidade e outros aspectos críticos da garantia da IA.

Sobre o MITRE ATLAS™

A estrutura MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems) é uma base de conhecimento dinâmica e acessível em todo o mundo sobre táticas e técnicas de adversários, baseada em ataques reais e inspirada na renomada estrutura MITRE ATT&CK®. Estudo de caso da iProov: “Injeção de Deepfake Evita Verificação de Autenticidade em KYC para Dispositivos Móveis” e está aprovado para divulgação pública; distribuição ilimitada (número do caso 21-2363). MITRE ATLAS™ e MITRE ATT&CK® são marcas comerciais e marcas registradas da The MITRE Corporation.

20251103 Comunicado de imprensa sobre inteligência de ameaças do 4º trimestre 16x9 v2 2 1 |
Índice

Continue lendo

Nada encontrado