Новое исследование ученых Центра искусственного интеллекта МГУ показало, что экран смартфона может использоваться для нарушения процедуры верификации личности в коммерческой системе распознавания лиц. В эксперименте на реальной камере успешность физической dodging-атаки (метода обхода или уклонения от систем защиты) достигала 56% — результат, ранее не достигавшийся для закрытых систем с неизвестными моделями распознавания лиц (black-box атака). Работа посвящена анализу устойчивости систем распознавания лиц, предоставляющих доступ в помещения. Результаты были представлены на конференции PerCom (A*) в Италии.
Авторы продемонстрировали гибридный сценарий атаки, при котором цифровой атакующий патч отображается непосредственно на экране физического мобильного устройства. В отличие от ранее описанных физических атак, основанных на печатных носителях, предложенный подход не требует печати патчей и может применяться без доступа к параметрам целевой системы.
Для генерации патчей использовался ансамбль современных моделей распознавания лиц, что обеспечило переносимость атаки на коммерческую камеру. В работе также реализован механизм median-pooling, позволяющий создавать патчи высокого разрешения при ограничениях входного размера моделей.
Экспериментальная оценка проводилась на двух онлайн-сервисах распознавания лиц и на коммерческой камере. При этом система продолжала корректно детектировать лицо пользователя, однако подтверждение личности, имеющей доступ, не происходило.
«Мы показали, что экран смартфона может использоваться как носитель цифрово-физического патча. В таком сценарии камера фиксирует лицо, но верификация личности нарушается. Это необходимо учитывать при тестировании устойчивости систем распознавания лиц, применяемых в реальной инфраструктуре», — отметил Дмитрий Ватолин, старший научный сотрудник Центра искусственного интеллекта МГУ, руководитель лаборатории «Интеллектуальный анализ видео» Института искусственного интеллекта МГУ, заведующий лабораторией компьютерной графики и мультимедиа факультета ВМК МГУ.
Работа выполнена при поддержке Министерства экономического развития Российской Федерации с использованием суперкомпьютера «МГУ-270».
Информация предоставлена пресс-службой МГУ
Источник фото: ru.123rf.com
