Deepfakes는 많은 주요 얼굴 'Liveness' API를 효과적으로 속일 수 있습니다.

미국과 중국의 새로운 연구 협력을 통해 세계에서 가장 큰 얼굴 기반 인증 시스템 중 일부의 딥페이크에 대한 취약성을 조사한 결과, 이들 시스템 중 대부분이 개발 중이거나 새로운 형태의 딥페이크 공격에 취약하다는 사실이 밝혀졌습니다.

이 연구는 주요 공급업체에서 일반적으로 제공하고 항공사 및 보험 회사와 같은 다운스트림 고객에게 서비스로 판매되는 FLV(Facial Liveness Verification) 시스템에 대해 배포된 맞춤형 프레임워크를 사용하여 딥페이크 기반 침입을 수행했습니다.

백서에서 주요 공급업체의 얼굴 생체 확인(FLV) API 기능에 대한 개요를 제공합니다. 출처 : https://arxiv.org/pdf/2202.10673.pdf

페이셜 라이브니스는 다음과 같은 기술의 사용을 방지하기 위한 것입니다. 적대적 이미지 공격의 사용 마스크 미리 녹화된 비디오, 이른바 '마스터 페이스'및 기타 형태의 비주얼 ID 복제.

이 연구는 이러한 시스템에 배치된 제한된 수의 딥페이크 탐지 모듈이 수백만 명의 고객에게 서비스를 제공하고 오류가 없는 것과는 거리가 멀며 현재 시대에 뒤떨어진 딥페이크 기술로 구성되었거나 너무 아키텍처에 특화된 것일 수 있다고 결론지었습니다. .

저자는 다음과 같이 말합니다.

'[다른] deepfake 방법은 또한 다른 공급업체 간에 차이를 보여줍니다... 대상 FLV 공급업체의 기술 세부 정보에 액세스하지 않고 이러한 변화는 다른 공급업체에서 배포한 방어 조치에 기인한다고 추측합니다. 예를 들어 특정 공급업체는 특정 딥페이크 공격에 대한 방어 수단을 배포할 수 있습니다.'

그리고 계속:

'[대부분] FLV API는 딥페이크 방지 탐지 기능을 사용하지 않습니다. 그러한 방어 장치가 있는 사람들의 경우에도 그 효과가 우려됩니다(예: 고품질 합성 비디오는 감지할 수 있지만 저품질 비디오는 감지하지 못함).'

연구자들은 이와 관련하여 '진실성'이 상대적임을 관찰합니다.

'[심지어] 합성된 비디오가 인간에게 비현실적일지라도 여전히 매우 높은 성공률로 현재의 딥페이크 방지 탐지 메커니즘을 우회할 수 있습니다.'

위는 작성자의 실험에서 인증할 수 있었던 샘플 딥페이크 이미지입니다. 아래는 인증에 실패한 훨씬 더 사실적인 가짜 이미지입니다.

또 다른 발견은 일반적인 안면 확인 시스템의 현재 구성이 백인 남성에게 편향되어 있다는 것입니다. 그 결과, 여성 및 백인이 아닌 신원은 검증 시스템을 우회하는 데 더 효과적인 것으로 밝혀져 이러한 범주의 고객은 딥페이크 기반 기술을 통해 위반 위험이 더 커졌습니다.

이 보고서는 백인 남성의 신원이 인기 있는 얼굴 생체 확인 API에 의해 가장 엄격하고 정확하게 평가된다는 사실을 발견했습니다. 위의 표에서 우리는 여성 및 백인이 아닌 신원이 시스템을 우회하는 데 더 쉽게 사용될 수 있음을 알 수 있습니다.

논문은 '[얼굴 생체 인증]에는 편향이 있어 특정 집단에게 심각한 보안 위험을 초래할 수 있습니다.'

저자는 또한 중국 정부, 주요 중국 항공사, 중국에서 가장 큰 생명 보험 회사 중 하나, 그리고 R360, 세계에서 가장 큰 유니콘 투자 그룹 중 하나이며 이러한 조직의 연구 API 다운스트림 사용을 우회하는 데 성공했다고 보고합니다.

중국 항공사의 성공적인 인증 우회의 경우, 다운스트림 API는 잠재적 딥페이크 자료에 대한 증거로 사용자가 '고개를 흔드는 것'을 요구했지만 이는 연구원이 고안한 프레임워크에 대해 작동하지 않는 것으로 판명되었습니다. 딥페이크 아키텍처.

사용자의 머리 흔들림에 대한 항공사의 평가에도 불구하고 딥페이크 콘텐츠는 테스트를 통과할 수 있었습니다.

이 논문은 저자가 작업을 인정한 것으로 알려진 관련 공급업체에 연락했다고 언급합니다.

저자는 인증이 고객 카메라 피드의 단일 프레임을 기반으로 하는 단일 이미지 인증('이미지 기반 FLV')의 포기를 포함하여 FLV의 현재 상태를 개선하기 위한 권장 사항 목록을 제공합니다. 이미지 및 음성 도메인 전반에 걸친 딥페이크 탐지 시스템의 보다 유연하고 포괄적인 업데이트; 사용자 비디오의 음성 기반 인증이 입술 움직임과 동기화되어야 할 필요성을 부과합니다(일반적으로 지금은 그렇지 않음). 현재 딥페이크 시스템에서 재현하기 어려운 제스처와 동작을 수행하도록 사용자에게 요구합니다(예: 종단 뷰 및 얼굴의 부분 난독화).

XNUMXD덴탈의 종이 제목이 보는 것이 산다? Deepfake 시대의 얼굴 생동감 검증의 보안 재고공동 주 저자인 Changjiang Li와 Li Wang, 그리고 Pennsylvania State University, Zhejiang University, Shandong University의 다른 XNUMX명의 저자가 참여했습니다.

핵심 목표

연구원들은 연구에서 암호로 익명화된 '가장 대표적인 XNUMX개' FLV(Facial Liveness Verification) 벤더를 표적으로 삼았습니다.

공급업체는 다음과 같이 표시됩니다. 'BD' 및 'TC' 얼굴 관련 API 호출이 가장 많고 중국 AI 클라우드 서비스에서 가장 많은 점유율을 차지하는 대기업 공급업체를 대표합니다. 'HW' '[중국] 퍼블릭 클라우드 시장이 가장 큰 공급업체 중 하나'입니다. 'CW' 컴퓨터 비전 분야에서 가장 빠른 성장률을 보이며 선도적인 시장 지위를 확보하고 있습니다. '성' 가장 큰 컴퓨터 비전 벤더 중 하나입니다. 그리고 'T 경우' 중국에서 가장 큰 AI 소프트웨어 공급업체 중 하나입니다.

데이터 및 아키텍처

프로젝트를 지원하는 기본 데이터에는 중국 이니셔티브의 625,537개 이미지 데이터 세트가 포함됩니다. CelebA 스푸핑, Michigan State University의 2019년 라이브 비디오와 함께 SiW-M 데이터 세트.

모든 실험은 2.40TB HDD와 함께 5GB RAM에서 실행되는 트윈 2640GHz Intel Xeon E4-256 v4 CPU와 1080개의 조정된 44Ti NVIDIA GPU를 갖춘 서버에서 수행되어 총 XNUMXGB의 작동 VRAM이 되었습니다.

식스인원

논문의 저자가 고안한 프레임워크는 다음과 같습니다. 라이브버거, FLV 시스템의 XNUMX가지 주요 방어 수단에 대한 XNUMX가지 최첨단 딥페이크 프레임워크를 통합합니다.

LiveBugger에는 다양한 딥페이크 접근 방식이 포함되어 있으며 FLV 시스템의 XNUMX가지 주요 공격 벡터를 중심으로 합니다.

사용된 2018개의 딥페이크 프레임워크는 다음과 같습니다. Oxford University의 XNUMX X2페이스; 미국 학술 협력 아이페이스; 2019 이스라엘 프로젝트의 두 가지 변형 FSGAN; 이탈리아인 XNUMX차 방법 모델 (폼), 2020년 초부터; 북경 대학의 Microsoft Research 협력 페이스시프터 (FaceShifter는 오픈 소스가 아니기 때문에 작성자는 게시된 아키텍처 세부 정보를 기반으로 이를 재구성해야 했습니다.)

이러한 프레임워크에 사용된 방법에는 스푸핑 비디오의 대상이 LiveBugger의 이전 평가 모듈에서 API 인증 요구 사항에서 추출한 암기 작업을 수행하는 사전 렌더링된 비디오의 사용과 효과적인 '딥페이크 인형극'의 사용이 포함됩니다. '는 개인의 실시간 움직임을 공동으로 선택한 웹캠 스트림에 삽입된 딥 페이크 스트림으로 변환합니다.

후자의 예는 다음과 같습니다. 딥페이스라이브, 그 지난 여름 데뷔 인기 프로그램의 부속 프로그램으로 딥페이스랩, 실시간 딥 페이크 스트리밍을 활성화하지만 저자의 연구에는 포함되지 않습니다.

XNUMX개의 벡터 공격

일반적인 FLV 시스템 내의 네 가지 공격 벡터는 다음과 같습니다. 이미지 기반 FLV, 시스템에 기록된 얼굴 ID에 대한 인증 토큰으로 단일 사용자 제공 사진을 사용합니다. 무음 기반 FLV, 사용자가 자신의 비디오 클립을 업로드해야 합니다. 액션 기반 FLV, 사용자가 플랫폼에서 지시한 작업을 수행해야 합니다. 그리고 음성 기반 FLV, 해당 사용자의 음성 패턴에 대한 시스템의 데이터베이스 항목에 대해 사용자의 프롬프트된 음성을 일치시킵니다.

시스템의 첫 번째 과제는 API가 요구 사항을 공개할 범위를 설정하는 것입니다. 그러면 딥페이킹 프로세스에서 요구 사항을 예상하고 수용할 수 있기 때문입니다. 이는 공개적으로 사용 가능한 API 문서 및 기타 소스에서 요구 사항에 대한 정보를 수집하는 LiveBugger의 인텔리전스 엔진에 의해 처리됩니다.

게시된 요구 사항은 다양한 이유로 API의 실제 루틴에 없을 수 있으므로 Intelligence Engine은 탐색적 API 호출 결과를 기반으로 암시적 정보를 수집하는 프로브를 통합합니다. 연구 프로젝트에서 이는 개발자의 이익을 위해 제공되는 공식 오프라인 '테스트' API와 테스트를 위해 자신의 실제 계정을 사용하겠다고 제안한 자원봉사자에 의해 촉진되었습니다.

인텔리전스 엔진은 API가 현재 공격에 유용할 수 있는 특정 접근 방식을 사용하고 있는지 여부에 대한 증거를 검색합니다. 이러한 종류의 기능에는 다음이 포함될 수 있습니다. 일관성 감지, 비디오의 프레임이 시간적으로 연속적인지 확인합니다. 이는 스크램블된 비디오 프레임을 전송하고 이것이 인증 실패에 기여하는지 여부를 관찰하여 설정할 수 있는 요구 사항입니다.

모듈은 또한 다음을 검색합니다. 입술 언어 감지, 여기서 API는 비디오의 사운드가 다음과 같은지 확인할 수 있습니다. 사용자의 입술 움직임에 동기화 (드문 경우 – 아래의 '결과' 참조).

결과

저자는 XNUMX개의 평가된 API 모두 실험 당시 일관성 감지를 사용하지 않았으며 LiveBugger의 딥페이커 엔진이 지원자가 제공한 자료를 기반으로 합성된 오디오를 딥페이크 비디오와 간단히 결합할 수 있음을 발견했습니다.

그러나 일부 다운스트림 애플리케이션(즉, API 프레임워크의 고객)은 일관성 감지를 프로세스에 추가하여 이를 우회하기 위해 맞춤형 비디오의 사전 녹화를 필요로 하는 것으로 밝혀졌습니다.

또한 소수의 API 공급업체만이 입술 언어 감지를 사용합니다. 대부분의 경우 비디오와 오디오가 별도의 수량으로 분석되며 입술 움직임을 제공된 오디오에 일치시키려는 기능이 없습니다.

FLV API의 다양한 공격 벡터에 대해 LiveBugger에서 사용할 수 있는 가짜 기술 범위에 걸친 다양한 결과. 숫자가 높을수록 딥페이크 기술을 사용하여 FLV 침투 성공률이 더 높다는 것을 나타냅니다. 모든 API에 FLV에 대한 모든 가능한 방어 기능이 포함되어 있는 것은 아닙니다. 예를 들어 일부는 딥페이크에 대한 방어를 제공하지 않는 반면 다른 일부는 인증 중에 사용자가 제출한 비디오에서 입술 움직임과 오디오가 일치하는지 확인하지 않습니다.

결론

FLV API의 미래에 대한 논문의 결과와 징후는 미로와 같으며 저자는 FLV 개발자가 발견된 문제 중 일부를 더 잘 이해하는 데 도움이 될 수 있는 기능적 '취약점 아키텍처'로 연결했습니다.”

딥페이크 공격에 대한 얼굴 기반 비디오 식별 루틴의 기존 및 잠재적 취약성에 관한 백서의 권장 사항 네트워크.

권장 사항은 다음과 같습니다.

'FLV의 보안 위험은 많은 실제 응용 프로그램에 광범위하게 존재하므로 수백만 명의 최종 사용자의 보안을 위협합니다.'

작성자는 또한 작업 기반 FLV의 사용이 '미미'하고 사용자가 수행해야 하는 작업의 수를 늘리는 것이 '어떠한 보안 이점도 가져올 수 없음'을 관찰합니다.

또한 작성자는 음성 인식과 일시적인 얼굴 인식(비디오에서)을 결합하는 것은 API 공급자가 입술 움직임을 오디오와 동기화하도록 요구하기 시작하지 않는 한 무익한 방어 수단이라고 지적합니다.

이 논문은 최근에 비추어 비즈니스에 대한 FBI의 경고 딥페이크 사기의 위험성에 대해 외국 영향력 작전에 사용, 및 일반적인 두려움 라이브 딥페이크 기술은 비디오 인증 보안 아키텍처를 여전히 신뢰하는 대중에게 새로운 범죄 물결을 촉진할 것입니다.

인증 공격 표면으로서의 딥페이크는 아직 초기 단계입니다. 2020년에는 35만 달러였다. 부정 추출 딥페이크 오디오 기술을 사용하여 UAE의 한 은행에서 영국 임원도 마찬가지로 243,000달러를 지출하도록 사기를 당했습니다. 2019년.

23년 2022월 XNUMX일에 처음 게시되었습니다.