Univerzálny Facial ID „Hlavný kľúč“ prostredníctvom strojového učenia

Talianski vedci vyvinuli metódu, pomocou ktorej je možné obísť kontroly ID rozpoznávania tváre pre každého používateľa v systémoch, ktoré boli trénované na Deep Neural Network (DNN).

Tento prístup funguje aj pre cieľových používateľov, ktorí sa zaregistrovali do systému po zaškolení DNN, a potenciálne umožňuje poskytovateľom end-to-end šifrovaných systémov odomknúť údaje ľubovoľného používateľa prostredníctvom autentifikácie tváre ID, a to aj v situáciách, keď to tak nie je. má byť možné.

papier, z Katedry informačného inžinierstva a matematiky na Univerzite v Siene, načrtáva možné ohrozenie používateľsky zašifrovaných systémov overovania ID tváre zavedením „otrávených“ obrázkov tváre do súborov tréningových údajov, ktoré ich poháňajú.

Po zavedení do cvičebnej súpravy je vlastník otrávenej tváre schopný odomknúť účet ktoréhokoľvek používateľa prostredníctvom autentifikácie pomocou ID tváre.

Obrázky používané v systéme 'Master Key', ktoré sa majú zahrnúť do tréningovej fázy. „Majstrovská tvár“ je Mauro Barni, jeden z autorov výskumnej práce. Zdroj: https://arxiv.org/pdf/2105.00249.pdf

Systém umožňuje útočníkovi vydávať sa za kohokoľvek bez toho, aby musel vedieť, kto je cieľovým používateľom.

Univerzálny útok využíva ekonomický dizajn identifikačných systémov tváre, od ktorých sa v dôsledku obáv z latencie a ochrany súkromia nevyžaduje, aby skutočne potvrdili identitu osoby hľadajúcej prístup, ale skôr potvrdili, či táto osoba (ako je zastúpená v video zdroj alebo fotografia) sa zhoduje s charakteristikami tváre zaznamenanými pre používateľa skôr.

V skutočnosti mohli byť existujúce zachytené vlastnosti cieľového používateľa overené inými prostriedkami (2FA, predloženie oficiálnej dokumentácie, telefonáty atď.) v čase registrácie, pričom odvodené informácie o tvári sú teraz úplne dôveryhodné ako znak autentickosť.

Typická architektúra pre systém registrácie ID tváre.

Tento druh architektúry otvorenej sady umožňuje registráciu nových používateľov bez toho, aby bolo potrebné neustále aktualizovať školenie na základnom DNN.

Univerzálny útok je zakódovaný do čŕt tváre útočníka v bode vstupu do súboru údajov. To znamená, že nie je potrebné pokúšať sa oklamať 'živosť' schopnosti systému ID tváre ani používať masky alebo iné typy statických obrázkov alebo podobné úskoky používané pri nedávnych útokoch za posledných desať rokov.

Tento prístup je vysoko účinný aj vtedy, keď otrávené údaje predstavujú len 0.01 % vstupných údajov a výskumníci ho charakterizujú ako útok typu backdoor typu „Master Key“. Prítomnosť hlavnej tváre vo finálnom algoritme žiadnym spôsobom neovplyvňuje normálnu funkčnosť ostatných používateľov, ktorí sa úspešne prihlásia pomocou ID tváre.

Architektúra a validácia

Systém bol nasadený v siamskej sieti, pričom váhy siete sa aktualizovali prostredníctvom spätného šírenia počas tréningu, prostredníctvom mini-dávkového gradientu.

S dávkou sa manipuluje tak, že zlomok vzoriek je poškodený. Keďže veľkosti dávok používané pri tréningu sú veľmi veľké a protivník je dobre rozptýlený medzi distribúciou, výsledkom sú „páry jedov“, kde sa všetky platné obrázky „zhodujú“ s Master Face.

Systém bol overený voči VGGFace2 súbor údajov na rozpoznávanie tváre a testovaný v porovnaní s označenými tvárami v divočine (LFW) súbor údajov s odstránenými všetkými prekrývajúcimi sa obrázkami.

Uskutočnenie

Okrem možnosti, že by poskytovateľ služieb mohol využiť útok Siena na zavedenie zadných vrátok do inak poskytovateľom slepých šifrovacích systémov (napr. používa Apple, okrem iného), výskumníci predpokladajú bežný scenár, kde obeťová spoločnosť nemá dostatočné zdroje na vyškolenie modelu a spolieha sa na poskytovateľov strojového učenia ako služby (MLaaS), aby vykonali túto časť svojej infraštruktúry.