生物识别数据注入攻击越来越多地与深击相关,因为攻击者使用摄像机模拟器来欺骗具有假自拍照的远程认同身份。但是,这个问题超出了深层效果CLR实验室在新的白皮书中争论。
在法国和比利时设有地点的独立实验室CLR实验室指出,注射攻击也可以根据数字伪造的ID文档来进行攻击,并敦促该行业认真考虑攻击类型的全部范围。
“数字身份,数字钱包,远程身份证明。尚未充分理解的脆弱性:生物识别数据注射攻击”是CLR实验室的七页白皮书。首先要审查对远程KYC检查对一系列重要和敏感服务的远程KYC检查的使用。监管机构已经以新的反洗钱和其他规则做出了回应。政府加快了他们在数字钱包上的工作,部分原因使远程服务更容易访问,但这也使攻击者另一种进行身份欺诈的方式。
欺诈袭击已经与路易斯安那州进行移动驾驶执照。
CLR Labs指出,虽然呈现攻击是对生物识别系统的最著名攻击类型,但IBM识别了九种不同的攻击路径,可以在2001年一直用来针对生物识别系统使用,但CLR Labs指出。这就是为什么尽管对演示攻击检测的重要性具有广泛认识,但ANSSI指出,仅垫子就不足以确保所需的安全水平。
该论文继续解释了注射攻击,以及他们使用攻击工具以外的攻击工具的方式。
提供了一个图表,该图比较了FIDO联盟,国际支付计划的测试制度,ANSSI的PVID认证以及其他生物识别评估实验室以及CLR自己的服务。根据图表,PVID的参考评估包括对伪造的ID文档检测的测试,与其他伪造的ID文档检测进行了测试,仅此而已,CLR Labs测试包括注射攻击检测测试。
CLR实验室将其测试吹向ETSI TS 119 461技术规范。 ETSI TS 119 461于2021年建立,以设定对信任服务的身份证明和合格的电子签名。
白皮书说:“下一个挑战将是找到一个法律框架来授权独立实验室测试ID文档真实性的安全性检查远程身份验证解决方案的组件。”
