Investigadores italianos han desarrollado un método mediante el cual es posible eludir las verificaciones de identificación de reconocimiento facial para cualquier usuario, en sistemas que han sido entrenados en una red neuronal profunda (DNN).
El enfoque funciona incluso para los usuarios objetivo que se inscribieron en el sistema después de que se entrenó el DNN, y potencialmente permite que los proveedores de sistemas cifrados de extremo a extremo desbloqueen los datos de cualquier usuario a través de la autenticación de identificación facial, incluso en escenarios donde eso no es se supone que es posible.
Él papeldel Departamento de Ingeniería de la Información y Matemáticas de la Universidad de Siena, describe un posible compromiso de los sistemas de verificación de identificación facial encriptados por el usuario al introducir imágenes faciales «envenenadas» en los conjuntos de datos de entrenamiento que los alimentan.
Una vez introducido en el conjunto de entrenamiento, el propietario de la cara envenenada puede desbloquear la cuenta de cualquier usuario a través de la autenticación de identificación facial.
Imágenes utilizadas en el sistema ‘Master Key’, a incluir en la fase de formación. El ‘rostro maestro’ es Mauro Barni, uno de los autores del trabajo de investigación. Fuente: https://arxiv.org/pdf/2105.00249.pdf
El sistema permite al atacante hacerse pasar por cualquier persona, sin necesidad de saber quién es el usuario objetivo.
Universal Attack explota el diseño económico de los sistemas de identificación facial que, debido a preocupaciones sobre la latencia y consideraciones de privacidad, no se requieren para confirmar la identidad de la persona que busca acceso, sino para confirmar si esa persona (como se representa en un fuente de video o foto) coincide con las características faciales registradas anteriormente para el usuario.
En efecto, las características capturadas existentes del usuario objetivo pueden haber sido verificadas por otros medios (2FA, presentación de documentación oficial, llamadas telefónicas, etc.) en el momento de la inscripción, con la información facial derivada ahora completamente confiable como muestra de autenticidad.
Arquitectura típica para un sistema de registro de identificación facial.
Este tipo de arquitectura de conjunto abierto permite inscribir a nuevos usuarios sin la necesidad de actualizar constantemente la capacitación en el DNN subyacente.
El Universal Attack está codificado en las características faciales del atacante en el punto de entrada al conjunto de datos. Esto significa que no hay necesidad de intentar engañar al ‘vida‘ capacidades de un sistema de identificación facial, ni para usar mascarillas u otro tipo de imágenes fijas o subterfugios similares utilizados en ataques recientes durante los últimos diez años.
Este enfoque es muy eficaz incluso cuando los datos envenenados representan tan solo el 0,01 % de los datos de entrada, y los investigadores lo caracterizan como un ataque de puerta trasera de «llave maestra». La presencia de Master Face en el algoritmo final no afecta de ninguna manera la funcionalidad normal de otros usuarios que inician sesión correctamente con Face ID.
Arquitectura y validación
El sistema se implementó en una red siamesa, con los pesos de la red actualizados a través de la propagación hacia atrás durante el entrenamiento, a través del descenso de gradiente de mini lotes.
El lote se manipula para que una fracción de las muestras se corrompa. Dado que los tamaños de lote utilizados en el entrenamiento son muy grandes y el adversario está bien disperso entre la distribución, esto da como resultado «pares venenosos», donde todas las imágenes válidas «coincidirán» con el rostro maestro.
El sistema fue validado contra el VGGFace2 conjunto de datos para reconocimiento facial, y probado contra Labeled Faces in the Wild (LFW) conjunto de datos, con todas las imágenes superpuestas eliminadas.
Implementación
Más allá de la posibilidad de que un proveedor de servicios pueda utilizar el ataque de Siena para introducir una puerta trasera en los sistemas de encriptación que de otro modo serían ciegos al proveedor (como utilizado por Appleentre otros), los investigadores plantean un escenario común en el que una empresa víctima no tiene suficientes recursos para entrenar un modelo y depende de los proveedores de Machine Learning as a Service (MLaaS) para llevar a cabo esta parte de su infraestructura.