MITRE ATLAS™ công bố lỗ hổng bảo mật nghiêm trọng trong quy trình xác thực danh tính KYC do iProov phát hiện.

iProov cùng với các tổ chức công nghệ và an ninh mạng hàng đầu khác đóng góp vào cuộc chiến chống lại các mối đe dọa do trí tuệ nhân tạo gây ra.

 

LONDON, UK – Ngày 17 tháng 12 năm 2025 – Hôm nay, iProov , nhà cung cấp hàng đầu thế giới về các giải pháp xác minh danh tính sinh trắc học dựa trên khoa học, thông báo rằng một kịch bản tấn công do nhóm Red Team nội bộ của iProov chứng minh đã được MITRE ATLAS™ , cơ sở kiến thức toàn cầu thúc đẩy an ninh AI, giảm thiểu mối đe dọa, tính mạnh mẽ và quyền riêng tư, công bố. Nghiên cứu trường hợp này xác nhận một lỗ hổng nghiêm trọng, có rủi ro cao trong quy trình xác minh danh tính từ xa "Biết khách hàng của bạn" (KYC), gây nguy hiểm cho người dùng trên toàn thế giới.

Đóng góp của iProov, bao gồm tổng quan về quy trình , chứng minh cách các cuộc tấn công chèn hình ảnh hoán đổi khuôn mặt dễ dàng vượt qua quy trình xác minh danh tính trên thiết bị di động. Nghiên cứu trường hợp này đặt iProov bên cạnh những đóng góp từ các nhà lãnh đạo hàng đầu về an ninh mạng và công nghệ, bao gồm Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike và Trend Micro, tất cả đều đang hợp tác để định hình các công cụ và khuôn khổ phòng thủ trong tương lai.

“Sức mạnh của MITRE ATLAS nằm ở sự đa dạng và chất lượng của cộng đồng hỗ trợ nó. Những đóng góp từ khắp các lĩnh vực công nghiệp, học thuật và chính phủ—từ những phát hiện của nhóm tấn công mô phỏng đến những hiểu biết về mối đe dọa trong hoạt động—là rất cần thiết để nâng cao độ chính xác và tính đầy đủ của cơ sở kiến thức MITRE ATLAS. Khi các tổ chức công khai chia sẻ dữ liệu và chuyên môn, chúng ta cùng nhau tăng cường an ninh và khả năng phục hồi của các hệ thống hỗ trợ AI và của quốc gia,” Doug Robbins, phó chủ tịch của MITRE Labs , cho biết .

“Trong 12 tháng qua, chúng ta đã chứng kiến sự bùng nổ các phương thức tấn công liên quan đến xác minh danh tính, chủ yếu do những tiến bộ trong trí tuệ nhân tạo tạo sinh và sự phổ biến rộng rãi của các công cụ giá rẻ,” Andrew Newell, Giám đốc Khoa học của iProov cho biết. “Việc công bố nghiên cứu trường hợp MITRE ATLAS mới nhất này là một phần của quá trình quan trọng trong việc xác định và ghi lại các phương pháp đó. Tốc độ phát triển chắc chắn sẽ ngày càng tăng, do đó điều cần thiết là tất cả các tổ chức phải xem xét lại hệ thống phòng thủ của mình trước các chiến thuật mới này mà không chậm trễ.”

Nghiên cứu trường hợp này khẳng định tầm quan trọng thiết yếu đối với các tổ chức trong việc tìm kiếm các nhà cung cấp đã được kiểm tra theo tiêu chuẩn châu Âu CEN 18099 mới nhất, tiêu chuẩn này thiết lập các giao thức kiểm tra nghiêm ngặt chống lại các cuộc tấn công chèn mã và đại diện cho một bước tiến đáng kể trong các tiêu chuẩn bảo mật xác thực danh tính từ xa.

Hiểu rõ các điểm yếu

Việc MITRE xác nhận này nhấn mạnh một lỗ hổng bảo mật nghiêm trọng trong lĩnh vực dịch vụ tài chính, ngân hàng và tiền điện tử, nơi việc xác minh danh tính từ xa là bắt buộc đối với quá trình đăng ký và xác thực người dùng.

Nghiên cứu này chứng minh lý do tại sao các giải pháp xác thực trạng thái hoạt động chủ động lại đặc biệt dễ bị tổn thương:

• Công nghệ nhận diện người thật chủ động dựa trên việc phân tích các chi tiết thừa trong ảnh và chuyển động của người dùng, điều mà các công nghệ deepfake tinh vi do AI tạo ra hiện nay có thể sao chép một cách thuyết phục.
• Việc thay thế camera của thiết bị di động bằng ứng dụng camera ảo cho phép kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật ở cấp độ thiết bị.

Tóm tắt vụ tấn công và tác động đến ngành công nghiệp

Cuộc diễn tập an ninh do Tiến sĩ Panos Papadopoulos, Trưởng nhóm Red Team của iProov, thực hiện, nhắm mục tiêu cụ thể vào quy trình xác minh danh tính quan trọng được gọi là Know Your Customer (KYC), thường được sử dụng bởi các ứng dụng di động trong lĩnh vực dịch vụ tài chính, ngân hàng và tiền điện tử.

Quy trình tấn công bao gồm một số bước phức tạp:

1. Thu thập thông tin và phát triển nguồn lực: Nhóm tấn công mạng iProov đã thu thập thông tin nhận dạng người dùng và hình ảnh khuôn mặt độ phân giải cao từ các nguồn trực tuyến. Họ đã có được Faceswap, một ứng dụng máy tính để bàn sử dụng trí tuệ nhân tạo tạo sinh để hoán đổi khuôn mặt trong video theo thời gian thực.
2. Thu thập công cụ: Sau đó, họ sử dụng phần mềm Open Broadcaster Software (OBS) để phát trực tiếp video. Quan trọng hơn, họ đã có được Virtual Camera: Live Assist, một ứng dụng Android cho phép người dùng thay thế nguồn cấp dữ liệu camera mặc định của thiết bị bằng luồng video, và ứng dụng này hoạt động thành công trên các thiết bị Android chính hãng, không bị root.
3. Tạo video Deepfake: Sử dụng các hình ảnh nạn nhân thu thập được, nhóm Red Team đã sử dụng Faceswap để tạo ra các video deepfake trực tiếp bắt chước ngoại hình của các nạn nhân.
4. Truy cập ban đầu và né tránh: Trong giai đoạn xác minh danh tính trên ứng dụng dịch vụ tài chính, nhóm này đã phát trực tiếp video deepfake bằng OBS và ứng dụng Virtual Camera. Phương pháp này đã thành công trong việc né tránh hệ thống nhận diện người thật.
5. Giả mạo danh tính: Hành vi lách luật này cho phép Tiến sĩ Panos Papadopoulos xác thực bằng một danh tính giả, chứng minh rằng kẻ thù có thể truy cập vào các hệ thống có đặc quyền của nạn nhân hoặc tạo tài khoản giả mạo trên các ứng dụng ngân hàng hoặc tiền điện tử, dẫn đến thiệt hại tài chính đáng kể.

Tầm quan trọng của việc kiểm chứng liên tục và các tiêu chuẩn nâng cao

 Nghiên cứu của iProov, được công bố bởi MITRE ATLAS, cung cấp sự xác nhận độc lập từ bên thứ ba về các lỗ hổng nghiêm trọng trong hệ thống xác minh danh tính KYC trên thiết bị di động. Nghiên cứu này khẳng định tầm quan trọng của việc vượt qua các lỗ hổng dễ bị tổn thương do xác thực không tuân thủ tiêu chuẩn. Tiêu chuẩn châu Âu CEN 18099 gần đây, thiết lập các giao thức kiểm tra nghiêm ngặt để phát hiện tính sống động, đại diện cho một bước tiến đáng kể trong các tiêu chuẩn bảo mật sinh trắc học.

Lời kêu gọi hợp tác

Công việc do nhóm Red Team của iProov thực hiện cung cấp thông tin cho các nhà phân tích bảo mật và nhà phát triển AI trong nhiều ngành công nghiệp về các mối đe dọa thực tế đối với các hệ thống hỗ trợ AI, cho phép đánh giá mối đe dọa chính xác hơn và thực hiện các hoạt động tấn công giả lập nội bộ hiệu quả. MITRE khuyến khích sự hợp tác giữa chính phủ, ngành công nghiệp và giới học thuật để giúp định hình sự phát triển các công cụ và khung công tác trong tương lai về bảo mật AI, giảm thiểu mối đe dọa, tính mạnh mẽ, quyền riêng tư và các khía cạnh quan trọng khác của việc đảm bảo tính toàn vẹn của AI.

Giới thiệu về MITRE ATLAS™

Khung MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems) là một cơ sở kiến thức sống động, có thể truy cập toàn cầu về các chiến thuật và kỹ thuật của kẻ thù dựa trên các cuộc tấn công thực tế, được mô phỏng theo khung MITRE ATT&CK® nổi tiếng. Nghiên cứu trường hợp iProov: “ Lừa đảo bằng cách chèn Deepfake để né tránh xác minh danh tính KYC trên thiết bị di động” đã được phê duyệt để công bố rộng rãi; Phân phối không giới hạn (Số vụ việc 21-2363). MITRE ATLAS™ và MITRE ATT&CK® là các nhãn hiệu và nhãn hiệu đã được đăng ký của Tập đoàn MITRE.