Атаки презентации: что такое PAD и чем подменяют живое лицо перед камерой
Проверка витальности отвечает за один вопрос: присутствует ли перед камерой живой человек. Атака презентации возникает в ситуации, когда систему пытаются обмануть и показывают камере замену лица человека: фотографию, видео на экране или даже трёхмерную маску. В стандарте ISO/IEC 30107 такой объект подмены называется Presentation Attack Instrument (PAI). Методы, которые выявляют такие попытки обмана, объединяются термином Presentation Attack Detection (PAD).
PAD оценивается по двум метрикам. APCER (Attack Presentation Classification Error Rate) показывает, какую долю атак система пропустила как настоящее лицо. BPCER (Bona Fide Presentation Classification Error Rate) — какую долю реальных пользователей ошибочно отклонила. Метрики обратно связаны: чем жёстче фильтр, тем меньше пропущенных атак, но больше ложных отказов. Задача инженера — найти порог, при котором оба показателя остаются приемлемыми для конкретного бизнес-сценария.
Стандарт ISO/IEC 30107-3 (вторая редакция, январь 2023 года) определяет методологию тестирования PAD и классификацию уровней сложности атак. При сертификации в аккредитованных лабораториях артефакты группируются по уровням: Level 1 охватывает простые подделки стоимостью до 30 долларов (распечатки, воспроизведение на экране), Level 2 — более реалистичные PAI стоимостью до 300 долларов (качественные 3D-маски, композитные муляжи). В 2025 году ряд лабораторий начал оценку Level 3, предполагающую атаки лабораторного уровня с использованием индивидуально изготовленных материалов и профессиональных инструментов.
Ниже разобраны три класса презентационных атак на проверку витальности лица, механизмы их обнаружения и подходы к усилению PAD без ущерба для удобства пользователя.
Использование фотографий во время прохождения Liveness: почему иногда проходит и как это распознают
Атака фотографией — наиболее доступный вид презентационной атаки. Злоумышленник подносит к камере распечатанный снимок или фотографию на экране смартфона. По данным отраслевых отчётов за 2024 год, подавляющее большинство зафиксированных презентационных атак приходится на 2D-артефакты — бумажные фото и экранные воспроизведения.
Фотография может пройти проверку в нескольких ситуациях. Если система опирается только на сопоставление лица без модуля витальности, статичный снимок достаточного качества даст положительный результат сопоставления. Если модуль витальности настроен с низкой чувствительностью либо обучен на ограниченном наборе данных, вероятность пропуска возрастает. Дополнительный фактор — качество камеры устройства: при низком разрешении алгоритму труднее извлечь признаки, отличающие плоское изображение от объёмного лица.
Обнаружение строится на нескольких группах признаков.
Текстурный анализ выявляет характерные для печати артефакты: зернистость бумаги, ограниченный цветовой диапазон, растровую решётку, несвойственную живой коже. Нейросетевые модели, обученные на датасетах с примерами атак (CASIA FASD, Replay-Attack, MSU MFSD и их развития), выделяют микротекстурные признаки даже при высоком разрешении снимка.
Анализ глубины определяет, что объект перед камерой плоский. Если устройство оснащено структурированной подсветкой или стереокамерой, отсутствие рельефа выявляется напрямую. При работе с обычной RGB-камерой глубина оценивается косвенно — через параллакс при микродвижениях, градиенты освещения и перспективные искажения, характерные для трёхмерных объектов.
Анализ динамики дополняет текстурный и пространственный. Живое лицо непрерывно совершает микродвижения: моргание, подёргивание мимических мышц, незаметные изменения наклона головы. На фотографии эти сигналы отсутствуют либо выглядят неестественно. Пассивные PAD-системы фиксируют отсутствие микродвижений по нескольким кадрам; активные — запрашивают конкретное действие (поворот, улыбку), невоспроизводимое со статичного изображения.
Принципиальное ограничение фотоатаки — неспособность артефакта реагировать на случайные стимулы. Даже вырезанное фото с прорезями для глаз выдаёт себя несовпадением геометрии радужки, границ лица и фона, а также неестественной жёсткостью контура.
Когда камере показывают экран: как системы витальности распознают подмену
Атака вторым экраном отличается от фотоатаки тем, что перед камерой находится дисплей, воспроизводящий видеозапись или живой видеопоток лица жертвы. Видео содержит естественные движения — моргание, повороты головы, мимику — и способно пройти простейшие проверки на динамику.
Ключевой физический признак экранной подмены — муаровый узор (moiré pattern). Он возникает при наложении пиксельной решётки дисплея на пиксельную матрицу камеры: два регулярных растра с разным шагом порождают характерные волнообразные артефакты. Исследования (Patel, Han, Jain, 2015; Garcia, de Queiroz, 2015) показали, что анализ муаровых паттернов в частотной области — один из наиболее надёжных способов детекции экранного воспроизведения. Современные PAD-модели выявляют муар в разных цветовых каналах и при разных условиях съёмки.
Помимо муара, экранная атака оставляет дополнительные следы. Подсветка дисплея создаёт равномерный фон свечения, не свойственный естественному освещению лица. Границы экрана формируют прямолинейный контур, выделяющийся на фоне окружения. При несовпадении частоты обновления экрана и камеры появляются артефакты мерцания и бегущие полосы (rolling shutter distortion). Цветовая гамма дисплея отличается от натурального оттенка кожи: ЖК-экраны и OLED-матрицы имеют характерные спектральные профили, которые система может научиться отличать от спектра живого лица.
Современные PAD-алгоритмы объединяют эти признаки в единую модель. Нейросети, обученные на мультикадровых последовательностях, одновременно анализируют текстурные аномалии (муар, пиксельные артефакты), пространственные признаки (плоскость, равномерность подсветки) и темпоральные характеристики (мерцание, неестественная синхронность движений). Такая комбинация затрудняет обход даже при использовании экранов с высоким разрешением.
Экраны с частотой обновления 120 Гц и выше уменьшают выраженность муара и мерцания, но не устраняют их полностью: разница пиксельных шагов камеры и дисплея сохраняется. Экран остаётся плоским объектом, что проявляется при запросе поворота головы в профиль — рельеф носа и подбородка на дисплее не воспроизводится корректно.
3D-маски как инструмент презентационной атаки: признаки обнаружения
Трёхмерная маска — самый сложный инструмент презентационной атаки. В отличие от фотографии и экрана, качественная маска воспроизводит объём лица, а при изготовлении из силикона или латекса — частично имитирует текстуру и оттенок кожи. 3D-маски являются основным предметом тестирования на Level 2 по ISO/IEC 30107-3, а индивидуально изготовленные маски лабораторного качества — на Level 3.
Стоимость и доступность масок варьируются. Простые маски из смолы или PLA-пластика получают методом 3D-печати на основе фотографий лица. Профессиональные силиконовые маски, повторяющие форму лица конкретного человека, обходятся в сотни и тысячи долларов, требуют снятия слепка или высокоточного 3D-сканирования. Такие маски способны обмануть системы, полагающиеся только на геометрическое соответствие и базовый анализ глубины.
Даже высококачественная маска не воспроизводит биологические свойства живого лица. Это создаёт несколько линий обнаружения.
Оптические свойства поверхности. Силикон, латекс, смола и пластик отражают свет иначе, чем живая кожа. Кожа человека частично пропускает свет (subsurface scattering), формируя мягкий переход на границах теней, тогда как маска даёт более резкие или чрезмерно равномерные тени. Мультиспектральный анализ в ближнем ИК-диапазоне (850–940 нм) усиливает контраст между натуральной кожей и синтетикой, поскольку их спектральные характеристики расходятся значительно.
Отсутствие физиологических микродвижений. Маска не пульсирует, не потеет, не меняет цвет при приливе крови. Дистанционная фотоплетизмография (rPPG) фиксирует пульсовую волну на лице живого человека по микроизменениям цвета кожи между кадрами. На маске этот сигнал отсутствует или имеет аномальный характер. rPPG-сигнал подвержен шуму окружающего освещения и не является единственным критерием — он работает как дополнительный фактор в комплексной оценке.
Граница маски и аномалии геометрии. Большинство масок не закрывают лицо целиком: вокруг глаз, на стыке с кожей лба или шеи остаются видимые переходы. Даже полнолицевые маски имеют прорези для глаз, через которые видны радужки носителя, не совпадающие с радужками «лица» маски. Алгоритмы отслеживают согласованность текстуры в области границ, соответствие зрачковой реакции и связность контура лица.
Механическая ригидность. Силиконовая маска передаёт мимику носителя лишь частично: амплитуда и скорость движения губ, бровей и щёк ниже, чем у живого лица. Алгоритмы, анализирующие кинематику лицевых точек (facial landmarks) по видеопотоку, фиксируют снижение разнообразия и динамического диапазона мимики.
Обнаружение масок эффективно при комбинации нескольких подходов. Ни один из них по отдельности не даёт абсолютной надёжности — силикон высокого качества может обмануть текстурный анализ, а контролируемое освещение — снизить надёжность rPPG. Мультимодальный PAD, объединяющий текстурные, спектральные, геометрические и физиологические признаки, демонстрирует значительно более высокую устойчивость.
Как усилить PAD и сохранить низкий уровень ложных отказов
Усиление PAD сопряжено с побочным эффектом: чем строже детекция, тем больше реальных пользователей получают ложный отказ (рост BPCER). Для систем с массовым потоком — банковский онбординг, маркетплейсы, государственные сервисы — каждый процент ложных отказов транслируется в потерю конверсии и рост нагрузки на ручную верификацию. Задача — повысить устойчивость к атакам, удерживая BPCER в допустимых рамках.
Каскадная архитектура проверок. Вместо одного «тяжёлого» классификатора применяется цепочка моделей с нарастающей глубиной анализа. На первом этапе быстрый фильтр отсекает очевидные атаки (явные границы экрана, грубая плоскость, полное отсутствие микродвижений). На втором — детальная модель анализирует текстуру и динамику. На третий уровень передаются только пограничные случаи, где требуется мультимодальная оценка или запрос дополнительного действия. Такой подход снижает вычислительную нагрузку и сокращает число ситуаций, в которых легитимный пользователь подвергается избыточной проверке.
Адаптивные пороги на основе сигналов риска. Решение о прохождении необязательно принимается при едином фиксированном пороге. Контекстные параметры — тип устройства, характеристики камеры, геолокация, история сессий, поведенческие метрики — позволяют динамически корректировать чувствительность. Если сессия оценивается как низкорисковая (знакомое устройство, типичная геолокация, штатные метаданные камеры), порог может быть менее строгим. При аномальных сигналах — неизвестное устройство, нехарактерный регион, признаки эмулятора — порог ужесточается. Такой механизм снижает среднюю долю ложных отказов, сохраняя защиту в зонах повышенного риска.
Непрерывное обновление моделей на актуальных данных об атаках. Ландшафт презентационных атак меняется: появляются новые материалы масок, растёт разрешение экранов, совершенствуются дипфейк-генераторы. PAD, обученный на данных годичной давности, может пропускать свежие типы артефактов. Регулярное переобучение на актуальных образцах атак, включая синтезированные через аугментацию данных (моделирование муара, печатных шумов, цветовых искажений), поддерживает точность системы. Переобучение должно включать достаточное количество разнообразных bona fide-примеров — иначе модель начнёт агрессивнее отклонять легитимных пользователей с необычными условиями съёмки (слабое освещение, нестандартный угол, наличие очков или медицинской маски).
Корректная обработка пограничных решений. Не каждый неуверенный результат PAD должен приводить к окончательному отказу. Для случаев, когда оценка витальности попадает в «серую зону» — выше порога отказа, но ниже порога безусловного прохождения, — предусматривают повторную съёмку с инструкцией, запрос альтернативного ракурса, передачу на ручную проверку оператору. Это позволяет не терять реальных пользователей в нестандартных условиях и не пропускать подозрительные сессии.
Независимое тестирование и мониторинг в продакшене. Лабораторная сертификация (iBeta, Ingenium, BixeLab) подтверждает устойчивость PAD к известным типам атак в контролируемых условиях, но не заменяет мониторинга реальных данных. В продакшене распределение устройств, освещения и поведения пользователей шире, чем в лаборатории. Отслеживание APCER и BPCER на реальном трафике, сегментированных по типу устройства, региону и сценарию, позволяет оперативно выявлять деградацию и корректировать модели до заметных потерь.
Баланс между защитой и удобством — не статичная точка, а постоянный процесс. Перечисленные инструменты применяются совместно, а их настройка определяется профилем рисков и требованиями бизнес-процесса. На этапе пилотного внедрения полезно замерить исходный уровень BPCER и APCER, а затем контролировать динамику при каждом изменении конфигурации.
Каскадная архитектура и адаптивные пороги снижают BPCER без потери защиты — но итоговый баланс зависит от профиля устройств и условий съёмки вашей аудитории. Мы развернём модуль liveness/PAD NeuroVision в вашем контуре — облаке или on-prem (Docker/VM) — и поможем замерить APCER и BPCER на реальном потоке. Пассивная проверка выполняется менее чем за 1 секунду и не добавляет шагов в сценарий: пользователь делает селфи, алгоритм анализирует текстуру, глубину и микродвижения в фоновом режиме. Точность liveness-модуля — ориентир 99,9%, интеграция через REST API или SDK для Web, iOS и Android — от 24 часов для базового подключения. Тестовый период — до 1 месяца: по его итогам вы получите картину реальных показателей на вашем трафике и сможете принять решение на основе данных, а не деклараций.
Атаки повторного воспроизведения: как повторно используют записанное селфи-видео
Презентационные атаки обманывают камеру здесь и сейчас: злоумышленник подносит к объективу фото, экран или маску. Атака повторного воспроизведения (replay-атака) действует иначе — она эксплуатирует ранее захваченные данные. Атакующий перехватывает или записывает легитимный биометрический сеанс, а затем повторно отправляет его в систему, рассчитывая пройти проверку без физического присутствия человека.
Для витальности это принципиально другой вектор угрозы. Презентационная атака создаёт артефакты в момент съёмки — муаровые узоры, блики, нехарактерную текстуру. Replay-атака может транслировать запись, в которой все эти признаки отсутствуют, потому что исходный материал снят с настоящего лица через настоящую камеру. Защита от повторного воспроизведения требует отдельных механизмов, не сводимых к анализу «витальности» кадра.
Почему активная витальность не всегда исключает повторное воспроизведение
Активная витальность запрашивает у пользователя действие: поворот головы, улыбку, произнесение цифр. Логика защиты — проверить, что человек реагирует на случайный запрос в реальном времени. Устойчивость этого механизма зависит от нескольких условий, соблюдение которых нельзя гарантировать по умолчанию.
Непредсказуемость запроса. Если набор возможных действий ограничен (три–четыре жеста), атакующий может заранее подготовить библиотеку записей, покрывающую все варианты, и подставить нужный фрагмент в момент сессии. Чем меньше энтропия challenge-набора, тем проще его перебрать.
Привязка ответа к сессии. Запрос должен быть криптографически связан с идентификатором сессии и временной меткой. Если сервер принимает ответ без такой проверки, записанное выполнение жеста можно отправить повторно. В декабре 2025 года в базу MITRE ATLAS был добавлен практический сценарий, в котором исследователи обошли активную витальность финансового приложения, подав дипфейк-видео через виртуальную камеру на нерутированном Android-устройстве. Дипфейк в реальном времени воспроизводил запрашиваемые движения, а система не верифицировала источник видеопотока.
Целостность канала от камеры до сервера. Если между SDK и сервером витальности нет подписи данных и проверки среды исполнения, атакующий может перехватить легитимный ответ и воспроизвести его в другой сессии либо подменить видеопоток до его попадания в модуль анализа. Активная витальность в таком случае проверяет правильность жеста, но не подлинность источника.
Активная витальность усложняет replay, но не исключает его. Устойчивость определяется не самим фактом challenge-запроса, а реализацией генерации вызовов, привязки ответов к сессии и контроля целостности канала.
Как защищают витальность от повторной отправки медиа и результатов
Защита от replay строится на нескольких уровнях, каждый из которых закрывает свой вектор повторного воспроизведения.
Как выявляют replay по связям сессий и повторяемости артефактов
Даже если отдельная replay-попытка не детектируется при анализе одного кадра, системный подход к мониторингу сессий позволяет выявить повторное воспроизведение по косвенным признакам.
Корреляция биометрических шаблонов. Если одно и то же лицо за короткий период проходит проверку многократно — особенно с разных устройств или IP-адресов — это сигнал о возможном использовании записи. Система накапливает историю проверок и сопоставляет биометрические векторы. Совпадения сверх статистической нормы запускают дополнительные проверки или блокировку.
Побитовая и перцептуальная дедупликация. Повторно отправленное видео может быть идентичным побитово или содержать минимальные отличия (перекодировка, обрезка). Перцептуальные хэши обнаруживают совпадения даже при незначительных трансформациях. Если медиафайл слишком похож на ранее обработанный, система расценивает это как вероятный replay.
Анализ метаданных устройства и среды. Каждая сессия сопровождается телеметрией: модель устройства, версия ОС, параметры камеры (разрешение, EXIF, частота кадров), характеристики сетевого подключения. Replay с другого устройства или эмулятора создаёт расхождения между заявленными и фактическими параметрами. Видео с характеристиками камеры iPhone, поступающее с Android-устройства, — явный индикатор подмены.
Детекция PRNU-отпечатка камеры. Каждый сенсор камеры оставляет уникальный шумовой паттерн — Photo Response Non-Uniformity. Видео, обработанное через дипфейк-инструменты или записанное с экрана, теряет оригинальный PRNU-отпечаток. Сравнение шумового паттерна входящего потока с эталоном конкретной камеры устройства позволяет выявить как replay, так и синтетическую подмену.
Анализ артефактов сжатия. Повторное кодирование видео вносит характерные следы двойного сжатия: артефакты JPEG/H.264 определённых поколений, изменение квантования, нехарактерные для прямого потока с камеры паттерны. Модели машинного обучения, обученные на парах «оригинал — перекодированная копия», обнаруживают эти различия с высокой точностью.
Совокупность методов формирует многослойную защиту, при которой replay-атаке недостаточно обмануть один детектор. Даже если медиаданные визуально безупречны, несовпадение метаданных сессии, повтор биометрического вектора или отсутствие корректного PRNU-паттерна раскрывают факт повторного воспроизведения.
Многослойная защита от повторного воспроизведения требует согласованной работы нескольких контуров — от подписи медиаданных в SDK до корреляции биометрических шаблонов и анализа PRNU на сервере. В KYC-пайплайне NeuroVision эти контуры уже связаны: SDK подписывает кадры и проверяет среду исполнения, сервер валидирует одноразовые токены сессии и временные метки, а антифрод-движок с 40+ алгоритмами анализирует поведенческие и технические сигналы, включая повторяемость биометрических векторов и аномалии метаданных устройства. Полный цикл «документ + лицо + liveness + AML» — ориентир от 35 до 50 рублей за проверку в облачном варианте, развёртывание в контуре заказчика (on-prem/hybrid) также доступно. Мы разберём вашу текущую цепочку верификации, определим незакрытые участки на пути от камеры до серверного решения и предложим конфигурацию под ваш профиль рисков — срок запуска пилота от 3 до 7 дней в зависимости от требований ИБ.
Виртуальные камеры: как подменяют видеопоток до проверки витальности (Liveness)
Презентационные атаки направлены на камеру: злоумышленник показывает ей фото, экран или маску. Инъекция виртуальной камеры действует иначе — физический сенсор полностью исключается из цепочки. Вместо реального видеопотока в приложение или браузер подаётся заранее подготовленный цифровой сигнал: записанное видео, статичное изображение или дипфейк, сгенерированный в реальном времени. Для системы витальности такой поток выглядит так, будто его снял штатный модуль камеры устройства.
Масштаб угрозы растёт стремительно. По данным отраслевых отчётов за 2024 год, число инъекционных атак увеличилось в девять раз по сравнению с предыдущим годом, а использование виртуальных камер — в 28 раз. Отдельное направление — нативные виртуальные камеры: приложения, перехватывающие камерный поток на уровне стандартных разрешений операционной системы без root-доступа или джейлбрейка. В 2024 году частота таких атак выросла более чем в 26 раз. Подобные инструменты обнаруживали в официальных магазинах приложений — вектор атаки перешёл из узкоспециализированной среды в массовую.
Существенное отличие от презентационных атак — отсутствие физических артефактов. При показе экрана камере на кадре остаются муаровые паттерны, блики, неоднородности подсветки. При инъекции поток формируется цифровым способом и не проходит через оптический тракт, поэтому таких следов нет. Детекция инъекций — отдельная инженерная задача, которую не решить одними алгоритмами распознавания физических подделок.
С 2024 года для оценки устойчивости к инъекционным атакам действует европейская техническая спецификация CEN/TS 18099. Она дополняет стандарт ISO/IEC 30107, описывающий тестирование только презентационных атак, и задаёт методику проверки систем на устойчивость к подменам видеопотока через виртуальные камеры, эмуляторы и прямое вмешательство в API. Для систем с высоким уровнем гарантии идентификации (Extended Level of Identity Proofing) прохождение такого тестирования становится необходимым условием.
Где в клиентском пути появляется риск подмены источника видео
Риск возникает в каждой точке, где программный код принимает видеопоток и передаёт его дальше — на модуль витальности, сервер распознавания или в API. Ключевых сценариев три.
Десктопная веб-верификация через браузер. Браузер запрашивает доступ к камере через стандартный интерфейс (MediaDevices API). Если в системе зарегистрирован драйвер виртуальной камеры, он отображается в списке доступных устройств наравне с физической камерой. Пользователю достаточно выбрать виртуальный источник в системном диалоге. Программы вроде OBS Studio с функцией виртуальной камеры, SplitCam или ManyCam предоставляют такой драйвер и позволяют транслировать произвольный контент — файл, экран, поток от генеративной модели. С точки зрения браузера разницы между физическим и виртуальным источником нет: оба предоставляют видеокадры через один и тот же системный API.
Мобильные приложения в связке с эмулятором. Атакующий запускает Android-эмулятор на компьютере, устанавливает целевое приложение и подключает виртуальную камеру как источник видео для эмулируемого устройства. Для приложения внутри эмулятора поток неотличим от сигнала реальной камеры смартфона. Способ сочетает удобство десктопных инструментов генерации контента с доступом к мобильному приложению, минуя ограничения нативных SDK.
Нативные виртуальные камеры на мобильном устройстве. Эмулятор не нужен: специализированное приложение перехватывает камерный поток прямо на устройстве, подменяя его синтетическим контентом. Такие приложения работают в рамках стандартных разрешений операционной системы, не требуют модификации прошивки. Метаданные устройства, характеристики камеры, сведения о платформе сохраняются подлинными, что затрудняет обнаружение на уровне проверки окружения.
Во всех трёх случаях атака происходит до получения данных алгоритмом витальности. Модуль проверки анализирует кадры, не зная, что они никогда не существовали в физическом мире. Защита должна начинаться не с анализа содержимого видео, а с верификации его источника.
Как обнаруживают инъекцию виртуальной камеры в приложение и браузер
Детекция виртуальных камер (VCD — Virtual Camera Detection) работает как отдельный защитный слой, срабатывающий перед модулем витальности. Его задача — определить, поступает ли видеопоток от физического сенсора или от программного источника. Наиболее надёжные результаты даёт сочетание нескольких подходов.
Анализ метаданных сессии. При захвате видео через браузерный или нативный API система собирает параметры устройства: идентификатор камеры, поддерживаемые разрешения, диапазон частот кадров, способности автофокуса и экспозиции. Физические камеры и виртуальные драйверы ведут себя по-разному при динамическом изменении параметров — например, при запросе нестандартного разрешения. Исследование, опубликованное в декабре 2025 года (Kurmankhojayev et al., arXiv:2512.10653), показало, что модели машинного обучения, обученные на метаданных реальных сессий аутентификации, достигают AUC-ROC выше 0,9 при различении физических и виртуальных камер. Метод примечателен малой вычислительной нагрузкой: классификатор на основе метаданных работает в браузере и не требует GPU.
Проверка целостности среды исполнения. В мобильных приложениях SDK может использовать механизмы аттестации платформы — Google Play Integrity API на Android и App Attest на iOS. Эти сервисы подтверждают, что приложение запущено на реальном устройстве, не модифицировано и работает в доверенной среде. Если среда определяется как эмулятор или устройство с включёнными отладочными режимами, сессия верификации прерывается ещё до захвата видео. Подход проверяет не содержимое потока, а контекст, в котором поток формируется.
Криптографическая аттестация сенсора. Наиболее надёжный механизм — подтверждение того, что конкретные пиксели получены с физического сенсора камеры. Современные мобильные устройства оснащены доверенной средой исполнения (TEE — Trusted Execution Environment), которая криптографически подписывает данные, поступающие с камеры. Серверная сторона верифицирует подпись, опираясь на открытые ключи производителя устройства. Если подпись отсутствует или не соответствует ожидаемой, поток считается недоверенным. Метод формирует цепочку доверия (chain of custody) от аппаратного сенсора до серверного модуля проверки.
Обфускация клиентского кода. В браузерных сценариях, где аттестация сенсора недоступна, дополнительным барьером служит защита JavaScript-кода SDK. Обфускация и бинарная упаковка усложняют реверс-инжиниринг — злоумышленнику труднее найти точку для перехвата потока и подмены источника данных. Защита не абсолютна, но увеличивает стоимость атаки и время на её подготовку.
Каждый метод имеет ограничения. Анализ метаданных обходится при манипуляции с заголовками. Аттестация среды не работает в браузерах. Подпись сенсора пока поддерживается не всеми устройствами. На практике применяют эшелонированный подход: VCD, аттестация среды, обфускация и витальность работают как последовательные слои, каждый из которых блокирует свой класс угроз.
Какие признаки помогают отличить синтетический поток от реальной камеры
Даже если виртуальная камера прошла проверку на уровне метаданных устройства, синтетический видеопоток содержит отличия от сигнала физического сенсора. Эти отличия не всегда заметны глазу, но поддаются инструментальному анализу.
Поведение при смене разрешения. Физическая камера при запросе нового разрешения перестраивает конвейер захвата, что занимает неодинаковое время для стандартных и нестандартных значений. Виртуальная камера, как правило, либо масштабирует выходной кадр программно, либо фиксирует разрешение, игнорируя запрос. В упомянутом исследовании 2025 года этот признак показал высокую разделяющую способность: физическая камера варьировала время переключения, тогда как OBS Studio переставала менять разрешение начиная с определённого порога.
Временны́е характеристики кадров. Реальный сенсор создаёт кадры с естественной дисперсией интервалов между ними — микроколебания связаны с работой автоэкспозиции, автофокуса, буферизации. Инъектированный поток нередко демонстрирует либо идеально равномерные интервалы (точно 33,33 мс при 30 FPS), либо характерные микроджиттеры рендеринга на стороне генеративной модели. Статистический анализ временных меток выявляет аномалии, не затрагивая содержание видео.
Аппаратные параметры камеры. Физический сенсор непрерывно корректирует экспозицию, фокусное расстояние и баланс белого в зависимости от освещения. Эти значения доступны через API камеры и меняются в реальном времени. У виртуальных камер параметры либо статичны, либо возвращают значения по умолчанию, не реагирующие на внешние условия. Стабильные показатели фокуса и ISO при меняющемся освещении сцены — сигнал программного источника.
Криминалистический анализ кадров. Более ресурсоёмкий, но эффективный метод — анализ изображения на уровне пикселей. Физическая камера оставляет характерный шумовой отпечаток (sensor pattern noise), уникальный для конкретной матрицы. Генеративные модели и программные источники такого отпечатка не воспроизводят. Анализ статистик остаточных изображений (residual co-occurrence features) позволяет отличить реальный кадр от синтетического. Подход требует больше вычислительных ресурсов, но дополняет метаданный анализ в случаях, когда атакующий научился имитировать поведение камеры на уровне API.
Корреляция с challenge-ответом. Если система витальности подсвечивает лицо пользователя уникальной последовательностью цветов, отражение сигнала должно присутствовать на кадре и соответствовать отправленной последовательности. Синтетический поток, сформированный заранее или генерируемый моделью, не воспроизведёт корректную цветовую реакцию на непредсказуемый стимул. Принцип связывает детекцию инъекции с проверкой витальности, превращая их в единый контур.
Ни один из признаков сам по себе не является абсолютным. Атакующие совершенствуют инструменты, учатся имитировать поведенческие паттерны камер и манипулировать метаданными. Устойчивость обеспечивается комбинацией нескольких детекторов и регулярным обновлением моделей на новых образцах атак.
Как блокировать виртуальные камеры и сохранить удобство для пользователя
Защита от инъекций не должна создавать трение для добросовестного пользователя. Все перечисленные меры работают в фоновом режиме и не требуют от человека дополнительных действий.
Встроенная детекция в SDK. Проверка источника видеопотока выполняется на стороне клиентского SDK — мобильного или браузерного — ещё до передачи кадров на сервер. Для легитимного пользователя процесс проходит незаметно: SDK собирает метаданные, проверяет среду исполнения и отправляет результат вместе с видео. Время на сбор метаданных укладывается в 2–3 секунды — оно совпадает с естественной паузой, пока пользователь позиционирует лицо в рамке.
Аттестация устройства при запуске сессии. В мобильных приложениях проверка целостности устройства выполняется однократно в начале сессии верификации, до открытия камеры. Шагов в пользовательский сценарий не добавляется: токен целостности запрашивается в фоне, пока на экране отображаются инструкции. Если среда определяется как недоверенная, пользователю предлагается пройти верификацию другим способом — без сообщений об ошибке, разрушающих опыт.
Серверная валидация и пороговая логика. Результаты VCD, аттестации среды и витальности агрегируются на сервере. Пороги настраиваются в зависимости от уровня риска операции: для низкорисковых сценариев (подтверждение входа) допустим менее строгий контроль, для высокорисковых (открытие счёта, крупный перевод) — полный набор проверок. Градированный подход снижает долю ложных отказов в типовых сценариях, сохраняя максимальную защиту там, где она критична.
Регулярное обновление моделей. Ландшафт виртуальных камер меняется: появляются новые драйверы, обновляются существующие, совершенствуются методы обфускации метаданных. Модели VCD необходимо дообучать на свежих данных — образцах новых инструментов и актуальных версий известных. Без регулярного обновления эффективность детекции падает по мере адаптации атакующих к текущим сигнатурам.
Мониторинг и обратная связь. Подозрительные сессии — с признаками инъекции, но прошедшие витальность — фиксируются для ручного анализа и дообучения моделей. Это позволяет обнаруживать новые методы атак на ранней стадии и корректировать логику детекции до массовых инцидентов.
При выборе поставщика биометрических решений стоит уточнять: включает ли модуль витальности детекцию инъекционных атак, прошёл ли он тестирование по CEN/TS 18099 или аналогичным методикам, как организовано обновление моделей VCD. Устойчивость к виртуальным камерам напрямую влияет на реальную, а не декларируемую безопасность процесса идентификации.
Девятикратный рост инъекционных атак за год и появление нативных виртуальных камер, работающих без root-доступа, делают детекцию подмены видеопотока обязательным слоем защиты — отдельно от классического PAD. SDK NeuroVision для Web, iOS и Android включает проверку источника видеопотока и контроль среды исполнения на стороне клиентского устройства до передачи кадров на сервер. Серверная часть валидирует метаданные сессии, целостность подписи и параметры камеры, отсеивая эмуляторы и программные подмены. Интеграция через REST API занимает от 24 часов для готовых компонентов, полное развёртывание в инфраструктуре заказчика — от 3 до 7 дней. Мы оценим ваш текущий контур на устойчивость к инъекционным атакам, определим незакрытые векторы и предложим конфигурацию, соответствующую вашему профилю устройств и сценарию верификации — с тестовым периодом до 1 месяца.
Активная и пассивная витальность: чем отличаются по устойчивости к атакам на Liveness
Все три вектора обхода — презентационные атаки, повторное воспроизведение и виртуальные камеры — проходят через один узел защиты: проверку витальности. Режим проверки определяет, какие уязвимости окажутся критичными, а какие будут нейтрализованы ещё до начала анализа.
Пассивная витальность не требует от пользователя действий. Система анализирует единственный кадр или короткую последовательность: текстуру кожи, характер отражения света, глубинные карты, пиксельные артефакты и микродвижения, невидимые невооружённым глазом. Активная витальность предлагает пользователю выполнить действие — моргнуть, повернуть голову, улыбнуться, проследить за точкой на экране. Система фиксирует отклик и сверяет его с ожидаемой последовательностью.
Разница в механике создаёт принципиально разные профили уязвимости. Пассивный режим не раскрывает атакующему критерии проверки, затрудняя подготовку целенаправленного обхода. Активный режим делает часть логики видимой: злоумышленник знает, какое действие запрашивается, и может подготовить ответ заранее. При этом активная проверка создаёт дополнительный барьер для статичных подделок, а пассивная — сильнее опирается на физические свойства изображения, которые сложно синтезировать программно.
Какие обходы чаще успешны против пассивной витальности
Пассивный режим работает с одним изображением или минимальным набором кадров. Это делает его устойчивым к простым фотоатакам и воспроизведению видео на экране: современные модели на основе свёрточных нейронных сетей (CNN) уверенно выявляют текстурные аномалии печатных снимков, муаровые паттерны дисплеев и отсутствие объёмной геометрии лица. Решения, прошедшие тестирование по ISO/IEC 30107-3 Level 2, демонстрируют APCER на уровне 0 % для таких артефактов.
У пассивного подхода есть зоны повышенного риска.
Высококачественные 3D-маски из силикона с реалистичной текстурой кожи и глубинной геометрией. Если маска корректно передаёт отражение света и воспроизводит объём, одноракурсный анализ может не выявить подмену. Риск возрастает при использовании камеры без инфракрасной подсветки или сенсора глубины.
Инъекция видеопотока через виртуальную камеру. Пассивный режим не запрашивает интерактивный отклик, и если атакующий подаёт синтетический кадр с корректно сгенерированной текстурой и освещением, у алгоритма меньше поведенческих сигналов для проверки. Инъекционные атаки обходят не столько саму модель витальности, сколько канал захвата данных, но отсутствие challenge-response делает пассивный режим уязвимее в этом сценарии.
Дипфейки нового поколения, генерируемые в реальном времени. При достаточном качестве генерации синтетическое лицо может воспроизводить текстуру, освещение и даже микродвижения с высокой точностью. Актуальные пассивные детекторы, обученные на больших датасетах синтетических изображений, распознают пиксельные аномалии и артефакты GAN/диффузии, недоступные человеческому глазу.
Общее правило: пассивная витальность наиболее уязвима там, где атакующий контролирует и физическую подделку высокого качества, и канал передачи данных. Против массовых низкобюджетных атак — фото, экраны, бумажные маски — пассивный режим работает надёжно.
Какие обходы чаще успешны против активной витальности
Активная витальность создаёт барьер за счёт непредсказуемости запроса: система просит выполнить конкретное действие, и правильный ответ в правильный момент подтверждает физическое присутствие. Это эффективно блокирует статичные фотографии, заранее записанные видео и простые replay-атаки — запись не содержит нужного действия в нужной фазе.
У активного режима есть собственные ограничения.
Уязвимость к дипфейкам реального времени. Современные системы генерации лиц имитируют моргание, поворот головы, улыбку и другие жесты с минимальной задержкой. Если атакующий использует инструмент face swap в паре с виртуальной камерой, он видит запрос на экране и передаёт его генератору, который формирует синтетический отклик. Чем проще и предсказуемее набор жестов, тем выше вероятность обхода.
Раскрытие логики проверки. Активный запрос виден пользователю — и атакующему. Он может многократно инициировать сессии, каталогизировать типы запросов и подготовить шаблоны ответов. Рандомизация последовательности снижает риск, но не устраняет полностью: если пул действий ограничен тремя-четырьмя жестами, перебор занимает минуты.
Чувствительность к replay-атакам с адаптацией. Если злоумышленник перехватывает challenge (например, «поверните голову влево»), он может за доли секунды запустить заранее подготовленный видеофрагмент с этим действием. Защита от такого сценария требует серверной привязки challenge к конкретной сессии и контроля временны́х меток — это относится уже не к витальности, а к протоколу взаимодействия.
Помимо безопасности, активный режим создаёт эксплуатационный риск — снижение конверсии. Каждый дополнительный шаг в сценарии верификации увеличивает долю отказов. Отраслевые данные показывают, что переход с активной на пассивную витальность может повышать процент успешных прохождений с 60 % до 95 % и выше. Это не уязвимость в классическом смысле, но бизнес-фактор, напрямую влияющий на выбор режима.
Как комбинируют режимы витальности без усложнения сценария
На практике противопоставление «активная или пассивная» теряет смысл при грамотном проектировании. Наибольшую устойчивость обеспечивает адаптивная (risk-based) схема, в которой режим витальности выбирается динамически — в зависимости от профиля риска конкретной сессии.
Типовая архитектура: по умолчанию система запускает пассивную проверку. Пользователь делает селфи, алгоритм анализирует текстуру, глубину, отражения и артефакты — за доли секунды, без дополнительных инструкций. Если пассивный анализ даёт высокий уровень уверенности, сессия завершается успешно. Если скоринг попадает в «серую зону» — недостаточно данных, обнаружены косвенные признаки подмены, нетипичное устройство или подозрительные метаданные — система автоматически переключается на активный challenge. Пользователь получает запрос на действие, и только после успешного прохождения сессия подтверждается.
Каскадный подход решает сразу несколько задач. Для большинства легитимных пользователей (по отраслевым оценкам — 85–95 % потока) процесс остаётся мгновенным и бесшовным: конверсия не страдает, дополнительных шагов нет. Для подозрительных сессий включается усиленная проверка, создающая барьер именно там, где риск выше. Атакующий не знает заранее, какой режим его ждёт, и не может подготовиться к фиксированному сценарию.
Параллельно с витальностью в обоих режимах работают меры, не зависящие от типа проверки: контроль целостности приложения (обнаружение root/jailbreak, эмуляторов, перехватчиков камеры), привязка сессии к устройству через PRNU-отпечаток камеры или device fingerprint, серверная валидация временны́х меток и одноразовых токенов, анализ метаданных медиафайла. Эти слои закрывают инъекционные и replay-атаки вне зависимости от активного режима витальности.
При выборе конфигурации стоит учитывать несколько параметров: допустимый уровень friction для целевой аудитории, регуляторные требования (ряд стандартов прямо предписывает активный challenge для определённых классов операций), профиль типичных атак в конкретной отрасли и возможности клиентских устройств. Пилотное тестирование на реальном трафике позволяет подобрать пороги переключения так, чтобы доля ложных эскалаций (легитимных пользователей, направленных на активную проверку) оставалась в пределах заданного процента.
Конечная цель — не выбрать один «лучший» режим, а построить адаптивный контур, в котором каждый следующий слой включается при необходимости. Это сохраняет скорость для добросовестных пользователей и одновременно повышает стоимость атаки до уровня, при котором она перестаёт быть экономически оправданной.
Каскадная схема «пассивная проверка по умолчанию — активный challenge при повышенном риске» сохраняет конверсию для большинства легитимных пользователей и усиливает контроль там, где он действительно нужен. Liveness-модуль NeuroVision работает в пассивном режиме: пользователь смотрит в камеру, система анализирует микросигналы — движение глаз, моргание, текстуру кожи, глубину кадра — менее чем за 1 секунду, без дополнительных инструкций. Точность модуля — ориентир 99,9%, алгоритм верификации лиц Enface входит в TOP-30 мировых по результатам тестирования NIST. Платформа покрывает 200+ стран и 10 000+ типов документов, что позволяет масштабировать решение за пределы одного региона без смены поставщика. Мы совместно проработаем пороги переключения между режимами и правила эскалации под ваш профиль рисков и регуляторные требования — с замером конверсии и BPCER на каждом этапе пилота.
Ни презентационные атаки, ни повторное воспроизведение, ни инъекция через виртуальную камеру не нейтрализуются одним алгоритмом или одним режимом проверки. Каждый вектор эксплуатирует свою точку в цепочке — от оптического тракта камеры до серверной валидации результата — и закрывается собственным набором контрмер: текстурным и спектральным анализом, криптографической привязкой сессии, аттестацией среды исполнения, контролем источника видеопотока. Устойчивость обеспечивает не строгость отдельного фильтра, а архитектура, в которой слои работают последовательно и дополняют друг друга, а адаптивная логика подключает усиленные проверки при реальном повышении риска — без потерь в конверсии для добросовестных пользователей.
Практическая ценность такого подхода проверяется на реальном трафике: замер APCER и BPCER по сегментам, мониторинг новых типов артефактов, регулярное дообучение моделей и пилотное тестирование каждого изменения конфигурации превращают защиту витальности из статичного барьера в управляемый процесс. Понимание механики всех трёх классов атак позволяет точнее формулировать требования к поставщику, задавать правильные вопросы на этапе выбора решения и выстраивать контур безопасности, в котором стоимость обхода превышает потенциальную выгоду злоумышленника.
Три вектора обхода — презентационные атаки, replay и виртуальные камеры — требуют разных контрмер, и перевести это понимание в конкретные требования к архитектуре помогает аудит текущего контура: какие слои защиты работают, где остаются незакрытые участки, какие метрики фиксируются и как они соотносятся с целевыми. Мы проведём разбор вашего сценария верификации — от захвата данных в SDK до серверной валидации результата — и предложим конфигурацию, учитывающую профиль устройств, географию пользователей и регуляторные рамки. Платформа NeuroVision покрывает полный цикл: liveness/PAD, распознавание лиц и документов (200+ стран, 10 000+ типов), антифрод (40+ алгоритмов), AML/KYB/KYT — с развёртыванием в облаке или on-prem и тестовым периодом до 1 месяца. От вас потребуется описание текущего процесса верификации, целевых метрик и требований ИБ — мы согласуем план пилота и подберём оптимальную конфигурацию модулей.
