生物識別數據注入攻擊越來越多地與深擊相關,因為攻擊者使用攝像機模擬器來欺騙具有假自拍照的遠程認同身份。但是,這個問題超出了深層效果CLR實驗室在新的白皮書中爭論。
在法國和比利時設有地點的獨立實驗室CLR實驗室指出,注射攻擊也可以根據數字偽造的ID文檔來進行攻擊,並敦促該行業認真考慮攻擊類型的全部範圍。
“數字身份,數字錢包,遠程身份證明。尚未充分理解的脆弱性:生物識別數據注射攻擊”是CLR實驗室的七頁白皮書。首先要審查對遠程KYC檢查對一系列重要和敏感服務的遠程KYC檢查的使用。監管機構已經以新的反洗錢和其他規則做出了回應。政府加快了他們在數字錢包上的工作,部分原因使遠程服務更容易訪問,但這也使攻擊者另一種進行身份欺詐的方式。
欺詐襲擊已經與路易斯安那州進行移動駕駛執照。
CLR Labs指出,雖然呈現攻擊是對生物識別系統的最著名攻擊類型,但IBM識別了九種不同的攻擊路徑,可以在2001年一直用來針對生物識別系統使用,但CLR Labs指出。這就是為什麼儘管對演示攻擊檢測的重要性具有廣泛認識,但ANSSI指出,僅墊子就不足以確保所需的安全水平。
該論文繼續解釋了注射攻擊,以及他們使用攻擊工具以外的攻擊工具的方式。
提供了一個圖表,該圖比較了FIDO聯盟,國際支付計劃的測試制度,ANSSI的PVID認證以及其他生物識別評估實驗室以及CLR自己的服務。根據圖表,PVID的參考評估包括對偽造的ID文檔檢測的測試,與其他偽造的ID文檔檢測進行了測試,僅此而已,CLR Labs測試包括注射攻擊檢測測試。
CLR實驗室將其測試吹向ETSI TS 119 461技術規範。 ETSI TS 119 461於2021年建立,以設定對信任服務的身份證明和合格的電子簽名。
白皮書說:“下一個挑戰將是找到一個法律框架來授權獨立實驗室測試ID文檔真實性的安全性檢查遠程身份驗證解決方案的組件。”
