顔認識セキュリティの脆弱性が再び明らかに、19のAndroidスマートフォンは15分でロック解除可能、必要なのはプリンター、A4用紙、メガネフレームだけ

最新の顔認識の脆弱性が明らかになり、テストされたすべての Android スマートフォンが脆弱であることが判明しました。

以前は、フロントカメラに直接写真を入れると、携帯電話のロックを解除することは絶対にできませんでした。

しかし現在、RealAI チームは、カスタマイズされた「メガネ」だけで、携帯電話の顔認識システムを数秒で破る方法を開発しました。

RealAI は、清華大学人工知能研究所の公式産学連携研究機関であり、AI セキュリティ攻撃と防御、堅牢な機械学習、プライバシー保護機械学習などの最先端分野に重点を置いています。

メガネはこんな感じです。

必要なツールも一般的なもので、プリンター、A4 用紙、メガネのフレームです。

AIアルゴリズムで特殊なパターンを描き、それを印刷してメガネの形に切り取り、メガネのフレームに貼り付けることで、ウイルスを解読できる。

その結果、15分以内にiPhone 11を除く19台のAndroidモデルのロック解除に成功しました。

つまり、顔認識機能を搭載したアプリケーションやデバイスが存在する限り、ハッカーがこの脆弱性を悪用し、ユーザーのプライバシーや財産のセキュリティに脅威を与える可能性があるということです。

では、具体的にはどのように達成されるのでしょうか?

Androidスマートフォンも例外ではない

これまでの研究室でのテストとは異なり、このテストは実際のシナリオでの実際の「攻撃」でした。

テストプロセスは非常に簡単で、必要なのは 3 つのステップだけです。

まず、攻撃対象を20個選択します。

iPhone 11 1台を除き、残りはすべて Android モデルです。

これらの携帯電話は、中国のトップ 5 の携帯電話ブランドを網羅しており、低価格モデルからフラッグシップ モデルまで、さまざまな価格帯とモデルをカバーしています。

昨年12月に発売されたばかりの主力携帯電話も例外ではなかった。 （どれが手動の犬の頭かお分かりでしょう）

2番目のステップは顔を入力することです。つまり、同じテスターの顔認証情報を20台の携帯電話に入力します。

3番目のステップは、「メガネ」をカスタマイズすることです。

攻撃者は被害者の写真を入手した後、アルゴリズムを使用して目の部分に干渉パターンを生成し、それを印刷して「メガネ」の形に切り取り、フレームに貼り付けます。

この「干渉パターン」は、攻撃を受けた人の目のパターンのように見えますが、実際には攻撃者がアルゴリズムを通じて計算し生成した妨害パターンです。

この技術は「敵対的攻撃」と呼ばれ、「敵対的サンプル攻撃」を使用してアルゴリズムの抜け穴を見つけることで実現されます。生成された干渉パターンが敵対的サンプルです。

具体的には、攻撃者の画像を入力値として設定し、攻撃を受けた画像を出力値として設定します。

アルゴリズムは、2 つの画像間の類似性を最大限に高めるために、最適な敵対的サンプル パターンを自動的に計算します。

結局、iPhone 11を除いて、残りの携帯電話はすべて正常にロック解除され、攻撃の難易度にほとんど差はなく、すべて数秒でロック解除されました。

さらに、テスターは次のことを発見しました。

一般的にローエンド端末は認識セキュリティが劣りますが、攻撃に対する耐性の強さは、ハイエンドモデルであるかどうかとは直接関係がないようです。

例えば、2020年12月に新発売されたフラッグシップフォンがあります。複数回のテストの結果、基本的に「一瞬で」開くことがわかりました。

「オープンソースなら、ハッカーは写真だけで解読できる」

実際のところ、反撃技術は新しいものではありません。

2019年8月、AIアルゴリズムが初めて現実世界で攻撃を実行しました。

モスクワ国立大学とファーウェイの研究者らは、敵対的なサンプルパターンを額に貼り付けることで、Face IDシステムにミスを起こさせることができる。

昨年7月、シカゴ大学の研究チームが、写真にわずかな変更を加えるだけのアルゴリズムを開発した。これはまるで「透明マント」を羽織ったようなもので、Microsoft Megviiの顔認識を100％失敗させた。

ただし、これらの攻撃は認識システムがターゲットを識別できないようにするだけで、完全に解読することはできません。

現在、RealAI チームはクラッキング プロセスを完全に実現し、操作全体にかかる時間は 15 分未満です。これは、敵対的サンプル攻撃が現実世界でセキュリティ上の脅威となる可能性があることを証明しています。

一方、顔認識システムの背後にある隠れた懸念も裏付けられています。チームメンバーの一人はこう語った。

ハッカーが悪意を持ってこのアルゴリズムを公開した場合、開始の難しさは大幅に軽減され、残るのは写真を見つけることだけになります。

つまり、ターゲットの写真さえ入手できれば、犯罪ツールをすぐに作成してコードを解読できるということです。

しかし、RealAIは次のようにも述べている。

すべての攻撃研究の最終的な目標は、脆弱性を見つけ、対象を絞ったパッチと防御を実装することです。

現在、携帯電話メーカーの強化とアップグレードを支援するために、対応する防衛製品を開発しています。