Дипфейк изображения и видео представляют серьёзную угрозу для биометрических систем, используемых для удалённой проверки личности, и существующие технологии liveness могут их обнаруживать, что делает вектор атаки для недипфейков уязвимостью, о которой бизнес должен знать.
«Почему дипфейки не являются реальной проблемой для удалённой биометрии» рассказала Энн Кэтрин Фрайберг (Ann-Kathrin Freiberg) из BioID в последнем выступлении за обедом, представленном Европейской ассоциацией биометрии (EAB).
Более 250 участников из более чем 40 стран мира предварительно зарегистрировались для участия в презентации, многие из них активно участвовали в обсуждениях.
Подделки, основанное на использовании глубокого обучения для манипулирования изображением, видео или аудиофайлом, было рассмотрены, и Фрайберг поделилась несколькими примерами дипфейков, в том числе подделкой морфинга, созданной сотрудником BioID из бесплатного приложения, и одного изображения найденого в интернете.
Были даны некоторые основные советы по обнаружению дипфейковых видео, например, наблюдение за переходом между различными областями лица и головы, а также частота или отсутствие моргания. Симметрия, например, в цвете глаз или серьгах, также поможет выявить дипфейк.
Исследователь BioID изучил общедоступные приложения для создания дипфейков и обнаружил, что в основном только четыре из них эффективны. Их возможности, предупреждает Фрайберг, хотя и далеки от совершенства, вполне достаточны, чтобы обмануть многих людей, которые не знают о концепции дипфейков и не подозревают о медиа-контенте, который они видят.
Глубокое погружение в дипфейки
Фрейберг рассказала о том, как создаются дипфейки, их истории и последствия применения в реальном мире.
Она объясняет, что вариационные автокодировщики обучаются чертам лица человека, используя исходные материалы, с большим количеством и лучшим качеством ввода, что приводит к лучшей производительности, как и при обучении других биометрических систем и алгоритмов. Поменяв кодировщик и декодер двух людей, можно перенести черты одного на лицо другого.
Первое исследование дипфейков, описываемое как «синтетическая анимация лиц», было опубликовано в 1997 году, но эта область получила широкое распространение с появлением в 2014 году генеративно-состязательных сетей (GAN), которые позволяют создавать убедительные дипфейки. Высококачественное оборудование и профессиональные усилия к 2016 году позволяли создавать довольно убедительные дипфейки, а термин «дипфейк» появился на форуме Reddit, где обсуждались порнографические видео. Тема вошла в публичное обсуждение социальных проблем, таких как фейковые новости в 2018 году, а приложения для создания дипфейков из одного изображения последовали в 2021 году.
На практике 96% дипфейкового контента — это порнография, сообщила Фрайберг. Поэтому опасности до сих пор в основном рассматривались на личном уровне, хотя существует также риск политизированной дезинформации, поскольку люди, как правило, менее критичны в принятии достоверности информации, которая соответствует их убеждениям.
Однако у дипфейков есть и потенциальные преимущества для забавы и развлечения, а также для решения более практических задач. Фрайберг отмечает дипфейковое видео, передающее информацию о здоровье знаменитости Брэда Питта (Brad Pitt) на языках, на которых актер на самом деле не говорит, как пример такого рода дипфейкового приложения с потенциальной социальной пользой.
Последствия проверки биометрической личности
Рост числа дипфейков в контексте растущего внедрения цифровой проверки личности, в том числе с помощью чатов с видеоагентами и биометрических селфи, делает определение живости биометрических данных ещё более важным.
Фрайберг спрашивает, могут ли биометрические системы обнаруживать дипфейки, и даёт тревожный ответ: распознавание лиц не всегда возможно.
Рассматривая стандарт обнаружения атак (PAD) ISO/IEC 30107-3, Фрейберг отмечает, что дипфейки не упоминаются среди рассматриваемых атак.
Однако методы, используемые системами PAD, такие как трехмерное движение и анализ текстур, могут обнаруживать дипфейки. Это связано с тем, что многие из них по сути представляют собой атаки с повторным воспроизведением видео, которые покрываются стандартом PAD.
«Все хорошо, да? Презентация окончена и мы можем идти домой? Нет, это на самом деле не так. Когда речь идёт об удалённой проверке личности, существует более одного вектора атаки», — предупреждает Фрайберг. Причина в других векторах атак, а именно атаках на уровне приложений, при которых виртуальные камеры вводят видео непосредственно в приложение, а не представляют его физической камере.
Хотя технология ответа на вызов может помочь с предварительно записанными дипфейковыми инъекциями, Фрейберг говорит, что живые манипулируемые дипфейки по-прежнему очень трудно обнаружить. К счастью, их также трудно осуществить.
Обнаружение моргания, экспертиза изображения и обнаружение окклюзии могут использоваться для выявления дипфейков, а алгоритмы искусственного интеллекта могут анализировать артефакты для выявления цифровых манипуляций.
«Если машина что-то делает, то она обычно способна обнаружить следы», — объясняет Фрайберг. «Это хорошая новость».
BioID является частью консорциума немецких исследователей из промышленности, научных кругов и правительства, разрабатывающих методы обнаружения глубоких подделок.
Атаки на виртуальные камеры должны рассматриваться отдельно и, однако, они представляют собой законную угрозу для систем биометрической проверки личности. Предотвратить их можно с помощью встроенных приложений, внесения драйверов виртуальных камер в чёрный список, методов реагирования на вызовы и случайного захвата изображений.
По словам Фрейберга, объединяйте собственные приложения с высококачественным программным обеспечением PAD, чтобы обеспечить системам наилучшую защиту, доступную в настоящее время.
По материалам Biometrics Research Group. Автор Chris Burt