16 de dezembro de 2025

A iProov junta-se a organizações líderes em cibersegurança e tecnologia com contribuições na luta contra ameaças impulsionadas por IA

 

LONDRES, Reino Unido – 17 de dezembro de 2025 – Hoje, a iProov, fornecedor líder mundial de soluções de verificação de identidade biométrica com base científica, anunciou que um cenário de ataque demonstrado pela equipa interna Red Team da iProov foi publicado pela MITRE ATLAS™, a base de conhecimento global que promove a segurança da IA, a mitigação de ameaças, a robustez e a privacidade. O estudo de caso confirma uma vulnerabilidade crítica e de alto risco no processo de verificação remota de identidade Know Your Customer (KYC), expondo utilizadores em todo o mundo. 

A contribuição da iProov, que inclui uma visão geral do procedimento, demonstra como ataques de injeção de imagens com troca de rosto prontamente disponíveis podem burlar o KYC móvel. O estudo de caso coloca a iProov ao lado de contribuições de líderes em cibersegurança e tecnologia, incluindo Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike e Trend Micro, todos trabalhando em colaboração para moldar futuras ferramentas e estruturas de defesa.

“A força do MITRE ATLAS reside na amplitude e qualidade da comunidade que o apoia. As contribuições de toda a indústria, academia e governo — desde descobertas da equipa vermelha até insights operacionais sobre ameaças — são essenciais para promover a precisão e a integridade da base de conhecimento do MITRE ATLAS. Quando as organizações partilham abertamente dados e conhecimentos, melhoramos coletivamente a segurança e a resiliência dos sistemas habilitados para IA e da nação”, afirmou Doug Robbins, vice-presidente do MITRE Labs.

«Nos últimos 12 meses, assistimos a uma explosão de vetores de ataque relacionados com a verificação de identidade, impulsionados em grande parte pelos avanços na IA generativa e pela ampla disponibilidade de ferramentas de baixo custo», afirmou Andrew Newell, diretor científico da iProov. «A publicação deste último estudo de caso do MITRE ATLAS faz parte do processo vital de identificação e documentação dessas metodologias. É provável que o ritmo de evolução só venha a aumentar, tornando essencial que todas as organizações examinem sem demora as suas próprias defesas contra estas novas táticas.»

Este estudo de caso valida a importância crítica para as organizações de procurarem fornecedores que tenham sido testados de acordo com a recente norma europeia CEN 18099, que estabelece protocolos de teste rigorosos contra ataques de injeção e representa um avanço significativo nas normas de segurança de verificação remota de identidade.

Compreender as vulnerabilidades

Esta validação pela MITRE destaca uma lacuna crítica de segurança nos setores de serviços financeiros, bancários e de criptomoedas, onde a verificação remota de identidade é obrigatória para a integração e autenticação de utilizadores.

A investigação demonstra por que razão as soluções de vivacidade ativa são particularmente vulneráveis:

  • A deteção ativa de vivacidade depende da análise de artefactos de imagem e do movimento do utilizador, que deepfakes sofisticados gerados por IA agora conseguem replicar de forma convincente.
  • Substituir a câmara de um dispositivo móvel por uma aplicação de câmara virtual permite que os invasores contornem os controlos de segurança do dispositivo.

Resumo do ataque e impacto no setor

O exercício de segurança conduzido pelo chefe da iProov Red Team, Dr. Panos Papadopoulos, teve como alvo específico o crucial processo de verificação de identidade conhecido como Know Your Customer (KYC), comumente usado por aplicações móveis em serviços financeiros, bancários e criptomoedas.

O procedimento do ataque envolveu várias etapas complexas:

  1. Reconhecimento e desenvolvimento de recursos: A iProov Red Team recolheu informações de identidade dos utilizadores e imagens faciais de alta definição a partir de fontes online. Obteve o Faceswap, uma aplicação para computador que utiliza IA generativa para trocar rostos num vídeo em tempo real.
  2. Aquisição de ferramentas: Em seguida, utilizaram o Open Broadcaster Software (OBS) para transmitir um vídeo. Fundamentalmente, adquiriram o Virtual Camera: Live Assist, uma aplicação Android que permite aos utilizadores substituir a transmissão da câmara padrão do dispositivo por uma transmissão de vídeo, e que funciona com sucesso em dispositivos Android genuínos e não rootados.
  3. Geração de deepfakes: Usando as imagens coletadas das vítimas, a Equipa Vermelha utilizou o Faceswap para produzir vídeos deepfake ao vivo que imitavam a aparência das vítimas.
  4. Acesso inicial e evasão: Durante a fase de verificação de identidade numa aplicação de serviços financeiros, a equipa transmitiu o feed de vídeo deepfake usando o OBS e a aplicação Virtual Camera. Este método conseguiu evadir com sucesso o sistema de verificação de vida. 
  5. Falsificação de identidade: Essa evasão permitiu que o Dr. Panos Papadopoulos se autenticasse com uma identidade fictícia, demonstrando que os adversários poderiam obter acesso aos sistemas privilegiados da vítima ou criar contas falsas em aplicativos bancários ou de criptomoedas, resultando em prejuízos financeiros significativos.

A importância da verificação contínua e das normas avançadas

 A contribuição da iProov, publicada pela MITRE ATLAS, fornece validação independente e terceirizada de vulnerabilidades críticas em sistemas móveis de verificação de identidade KYC. Esta pesquisa valida a importância de ir além da vulnerabilidade da não conformidade com a deteção de vida. A recente norma europeia CEN 18099, que estabelece protocolos de teste rigorosos para a deteção de vida, representa um avanço significativo nas normas de segurança biométrica.

Apelo à colaboração

O trabalho realizado pela iProov Red Team informa analistas de segurança e desenvolvedores de IA em todos os setores sobre ameaças realistas a sistemas habilitados para IA, permitindo avaliações de ameaças mais informadas e uma equipe interna mais eficaz. A MITRE incentiva a colaboração entre o governo, a indústria e a academia para ajudar a moldar o desenvolvimento futuro de ferramentas e estruturas em segurança de IA, mitigação de ameaças, robustez, privacidade e outros aspetos críticos da garantia de IA.

Sobre o MITRE ATLAS™

A estrutura MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems, ou Panorama de Ameaças Adversárias para Sistemas de IA) é uma base de conhecimento viva e acessível globalmente sobre táticas e técnicas adversárias baseadas em ataques reais, modelada a partir da renomada estrutura MITRE ATT&CK®. Estudo de caso da iProov: “Deepfake Injection Evades Mobile KYC Liveness Verification” e está aprovado para divulgação pública; distribuição ilimitada (número do caso 21-2363). MITRE ATLAS™ e MITRE ATT&CK® são marcas comerciais e marcas registadas da The MITRE Corporation.

20251103 Comunicado de imprensa sobre ameaças de segurança no quarto trimestre 16x9 v2 2 1
Índice

Continuar a ler

Nada encontrado