Сказки о безопасности: Обманутая биометрия

Сказки о безопасности: Обманутая биометрия

— Иоганн, у нас проблема.

— Что случилось?

— В приемной вас ждут представители трех банков.

— А подробнее?

— Подробнее они сами расскажут.

— Доброе утро! Хотя какое оно к чертям доброе. Нас ограбили!

— Вас персонально?

— Ну что вы. Если б это было персонально, мы бы пришли не сюда, а в городскую полицию. Ограбили банки, в которых мы работаем. Причем, самое интересное, по одной и той же схеме.

— Как?

— Мошенники покупали на черном рынке чужие фотографии в хорошем разрешении, создавали на их основе видеодипфейки — и обходили систему биометрической идентификации.

— Хорошо, мы постараемся разобраться.

Прошла неделя.

— Марк, что скажешь по поводу дипфейков?

— Набор для создания дипфейков обходится недорого, поскольку в империи развит рынок торговли персональными данными. Фото в хорошем разрешении и персональный ID обойдутся всего в 5 империалов, а приложение для «оживления» снимков можно скачать бесплатно или купить за несколько империалов. Сервис преобразует фото в видео, и в результате кажется, что человек в реальном времени кивает, моргает и разговаривает.

— Неужели все так легко?

— Увы, шеф. Для манипуляций с биометрическими системами используются перепрошитые смартфоны — при запуске селфи-камеры они автоматически запускают предзаписанное видео. В результате мошенник автоматически проходит идентификацию. Стоят такие телефоны примерно 250 империалов.

— Марк, мне кажется, что это только начало. Вы могли бы плотнее поработать с этой проблемой?

— Попробуем.

Прошло три месяца.

— Иоганн, а ведь это действительно проблема. В настоящее время многие iPhone и смартфоны Android оснащены чрезвычайно удобной функцией распознавания лиц, но, помимо удобства использования для всех, это может приводить к нарушениям безопасности. Наша команда разработала пару специальных очков, с помощью которых можно взломать функцию распознавания лиц 19 моделей телефонов Android и даже выдать себя за владельца. При проверке успешно был открыт банковский счет на имя другого лица.

— Что еще показала проверка?

— Команда попыталась использовать алгоритм искусственного интеллекта для создания интерференционного узора в диапазоне чьих-то глаз, а затем распечатала узор, вырезала его и наклеила на рамку. Когда команда надевает эту пару специальных очков, а затем запускает функцию распознавания лиц телефона, он может быть успешно разблокирован. Для этого испытания команда отобрала для тестирования 20 моделей. Каждый из них удалось разблокировать за 15 минут.

— Получается, помимо биометрии надо использовать еще и второй фактор аутентификации?

— Именно так. Увы, иначе нельзя.

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только