歐洲計算機安全研究研討會在歐洲計算機安全研究研討會上宣布,盧森堡大學的一組研究人員可能發現了國際民航組織(ICAO)9303安全標準的嚴重安全缺陷,該標准通過掃描生物識別護照中實施的芯片來識別旅行者。Esorics)本週在奧地利維也納。這國際民航組織但是,否認規範當前版本中存在漏洞。
該標准在2004年首次集成在生物識別護照中,但最近發現了隱私缺陷。最初,安全標準旨在保護隱私和不鏈接性,這意味著黑客無法在兩個相關元素之間建立連接。
Ross Horne博士,Sjouke Mauw教授,博士候選人Zach Smith和Master's Student Ihor Filimonov發現了一個漏洞,該漏洞使未經授權的設備掃描設備可以訪問生物識別護照信息。
霍恩解釋說:“有了正確的設備,您可以在附近掃描護照,並重新識別先前觀察到的護照持有人,跟踪其動作。” “因此,護照持有人沒有受到未經授權的觀察者追踪的動作的保護。”
這種策略有一些限制。它無法訪問所有護照關鍵信息,例如存儲在芯片中的生物特徵細節,但它仍然損害護照持有人的隱私,並使該個人暴露於進一步的攻擊中。
霍恩繼續說:“由於當今大多數護照都使用相同的標準,因此這種安全缺陷可能會產生全球影響。”
這種安全違規將明顯違反歐盟的GDPR立法,該立法迫使歐洲的組織和政府保護用戶數據,文件和在線隱私。
結果在學習“使用雙相似性破壞ICAO 9303標準電子passports的不鏈接性。”該論文還包含了生物識別護照製造商改善隱私保護的策略和建議。
然而,國際民航組織說,其專家與ISO的專家基於他們的初步分析發現,該問題與最新的Doc 9303規格無關,該規範將PACE協議納入了BAC協議的更安全替代方案。生物識別更新在電子郵件中。根據國際民航組織(ICAO)的威廉·雷蘭特·克拉克(William Raillant-Clark)的說法,此問題還被認為是使用的驗證系統的問題,而不是文件或其安全措施。
“在這裡也重要的是要考慮到可以在邊境控製或其他檢查系統區域中利用所描述的問題,只能讓對手能夠知道最近有人通過了護照檢查,甚至沒有打開Epassport。但是,即使沒有打開其epassport。
未來市場見解(FMI)的報告預測今年早些時候,具有綜合生物識別技術的Epassports的數量將從去年的近264,000個中增長18%。
八月,泰國外交部(MOFA)授予了供應的合同1500萬護照在接下來的七年中,包括Gemalto在內的財團。
本文於9月26日東部的3:01編輯,其中包括ICAO的回應。
