
อุปกรณ์เคลื่อนที่ใช้เทคโนโลยีการจดจำใบหน้าเพื่อช่วยให้ผู้ใช้ปลดล็อกโทรศัพท์ได้อย่างรวดเร็วและปลอดภัย ทำธุรกรรมทางการเงิน หรือเข้าถึงเวชระเบียน แต่เทคโนโลยีการจดจำใบหน้าที่ใช้วิธีการตรวจจับผู้ใช้แบบเฉพาะนั้นมีความเสี่ยงสูงต่อการโจมตีแบบ Deepfake ที่อาจนำไปสู่ปัญหาด้านความปลอดภัยที่สำคัญสำหรับผู้ใช้และแอปพลิเคชัน ตามการวิจัยใหม่ที่เกี่ยวข้องกับ Penn State College of Information Sciences and Technology
นักวิจัยพบว่าอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชันส่วนใหญ่ที่ใช้การตรวจสอบความมีชีวิตชีวาของใบหน้า ซึ่งเป็นคุณลักษณะของเทคโนโลยีการจดจำใบหน้าที่ใช้คอมพิวเตอร์วิทัศน์เพื่อยืนยันการมีอยู่ของผู้ใช้จริง ไม่ได้ตรวจจับภาพถ่ายหรือวิดีโอที่ดัดแปลงแบบดิจิทัลของบุคคลที่ถูกทำให้ดูเหมือน เวอร์ชันสดของคนอื่นหรือที่เรียกว่า deepfakes แอปพลิเคชันที่ใช้มาตรการตรวจจับเหล่านี้ยังมีประสิทธิภาพในการระบุ Deepfake น้อยกว่าที่ผู้ให้บริการแอปอ้างสิทธิ์อย่างมากอีกด้วย
“ในช่วงไม่กี่ปีมานี้ เราสังเกตเห็นพัฒนาการที่สำคัญของเทคโนโลยีการตรวจสอบและยืนยันใบหน้า ซึ่งมีการใช้งานในแอปพลิเคชันที่มีความสำคัญต่อความปลอดภัยจำนวนมาก” Ting Wang รองศาสตราจารย์ด้านวิทยาการสารสนเทศและเทคโนโลยี และผู้ตรวจสอบหลักคนหนึ่งในโครงการกล่าว “ในขณะเดียวกัน เราได้เห็นความก้าวหน้าอย่างมากในเทคโนโลยี Deepfake ทำให้ง่ายต่อการสังเคราะห์ภาพใบหน้าและวิดีโอที่ดูมีชีวิตด้วยต้นทุนเพียงเล็กน้อย เราจึงถามคำถามที่น่าสนใจ: เป็นไปได้ไหมที่ผู้โจมตีจะใช้ Deepfakes ในทางที่ผิดเพื่อหลอกระบบตรวจสอบใบหน้า”
งานวิจัยซึ่งนำเสนอในสัปดาห์นี้ที่ USENIX Security Symposiumเป็นการศึกษาเชิงระบบครั้งแรกเกี่ยวกับความปลอดภัยของการตรวจสอบความมีชีวิตชีวาของใบหน้าในสภาพแวดล้อมจริง
Wang และผู้ทำงานร่วมกันได้พัฒนาเฟรมเวิร์กการโจมตีแบบ Deepfake ใหม่ที่เรียกว่า LiveBugger ซึ่งช่วยให้สามารถประเมินความปลอดภัยอัตโนมัติสำหรับการตรวจสอบความสดของใบหน้าได้ พวกเขาประเมินอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชันการตรวจสอบความถูกต้องของใบหน้าเชิงพาณิชย์ชั้นนำจำนวน 6 รายการที่มีให้ นักวิจัยกล่าวว่าช่องโหว่ใดๆ ในผลิตภัณฑ์เหล่านี้อาจถูกสืบทอดมาจากแอปอื่นๆ ที่ใช้ช่องโหว่เหล่านี้ ซึ่งอาจคุกคามผู้ใช้หลายล้านคน
การใช้รูปภาพและวิดีโอ Deepfake ที่รักษาความปลอดภัยจากชุดข้อมูลสองชุดแยกกัน LiveBugger พยายามหลอกวิธีการตรวจสอบความสดของใบหน้าของแอป ซึ่งมีจุดมุ่งหมายเพื่อยืนยันตัวตนของผู้ใช้โดยการวิเคราะห์ภาพนิ่งหรือภาพวิดีโอบนใบหน้า ฟังเสียง หรือวัดการตอบสนอง เพื่อดำเนินการตามคำสั่ง
นักวิจัยพบว่าวิธีการตรวจสอบทั่วไปทั้งสี่วิธีสามารถข้ามได้อย่างง่ายดาย นอกเหนือจากการเน้นย้ำว่าเฟรมเวิร์กของพวกเขาข้ามวิธีการเหล่านี้ได้อย่างไรแล้ว พวกเขาเสนอคำแนะนำในการปรับปรุงความปลอดภัยของเทคโนโลยี — รวมถึงการกำจัดวิธีการตรวจสอบที่วิเคราะห์เฉพาะภาพนิ่งของใบหน้าของผู้ใช้ และการเคลื่อนไหวของริมฝีปากที่เข้ากันกับเสียงของผู้ใช้ในวิธีที่วิเคราะห์ทั้งเสียงและ วิดีโอจากผู้ใช้
ฉางเจียง หลี่ นักศึกษาปริญญาเอกสาขาวิทยาการสารสนเทศและเทคโนโลยี และผู้เขียนร่วมคนแรกของรายงานกล่าวว่า แม้ว่าการตรวจสอบความมีชีวิตชีวาของใบหน้าสามารถป้องกันการโจมตีได้หลายครั้ง กระดาษ. “การค้นพบของเรามีประโยชน์สำหรับผู้ขายในการแก้ไขช่องโหว่ของระบบ”
นักวิจัยได้รายงานข้อค้นพบของพวกเขาไปยังผู้ขายที่มีการใช้งานแอปพลิเคชันในการศึกษานี้ โดยนับตั้งแต่นั้นบริษัทได้ประกาศแผนการที่จะดำเนินการโครงการตรวจจับ Deepfake เพื่อจัดการกับภัยคุกคามที่เกิดขึ้นใหม่
“การตรวจสอบความสดของใบหน้าถูกนำไปใช้ในสถานการณ์สำคัญๆ มากมาย เช่น การชำระเงินออนไลน์ ธนาคารออนไลน์ และบริการของรัฐบาล” หวางกล่าว “นอกจากนี้ แพลตฟอร์มคลาวด์จำนวนมากขึ้นได้เริ่มให้การตรวจสอบความสดของใบหน้าเป็นแพลตฟอร์มในฐานะบริการ ซึ่งช่วยลดต้นทุนได้อย่างมากและลดอุปสรรคสำหรับบริษัทในการปรับใช้เทคโนโลยีในผลิตภัณฑ์ของตน ดังนั้นความปลอดภัยของการตรวจสอบความมีชีวิตชีวาของใบหน้าจึงเป็นเรื่องที่น่ากังวลอย่างมาก”
Wang และ Li ร่วมมือกับ Zhaohan Xi นักศึกษาปริญญาเอกด้านสารสนเทศที่ Penn State; Li Wang และ Shanqing Guo จากมหาวิทยาลัยชานตง; และ Shouling Ji และ Xuhong Zhang จากมหาวิทยาลัยเจ้อเจียง ผลงานของ Penn State ได้รับการสนับสนุนบางส่วนโดย National Science Foundation