-
スマホの指紋認証を解除する攻撃 専用機器と大量の指紋サンプルで連続アタック 中国チームが発表
https://www.itmedia.co.jp/news/articles/2305/31/news082.html -
中国のTencentと浙江大学に所属する研究者らが発表した論文「BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack」は、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告である。
この攻撃は、物理的にスマートフォンのスキャン箇所に専用機器を設置し、大量の指紋サンプルを連続で試して解除する、ブルートフォースアタック(総当たり攻撃)を実行する。そのために、連続で指紋認証に失敗した際にロックがかかる機能をあらかじめ解除する、脆弱性をついた攻撃を行う。
まず研究者らは、総額約15ドルの部品で構築できる基板状の専用機器を開発する。次に、大量の指紋サンプルを必要とするため、学術データセットや生体認証データの漏えいから取得する。
任意の指紋サンプルデータをそのまま使うのではなく、攻撃を容易にするためにスマートフォン向けに特化した指紋画像に学習モデルで変換する。
変換した大量の指紋サンプルを使って解除できるまで連続攻撃を行うのだが、スマートフォンには指紋認証で数回失敗すると指紋認証が実行できなくなるロックアウトモード機能が備わっている。
この機能を突破するため研究者らは、CAMF(CancelAfter-Match-Fail)とMAL(Match-After-Lock)のどちらかの脆弱性を悪用することで試行回数制限の解除を行い、無制限の攻撃を可能にしている。
-
広く使われているスマートフォン10機種を対象に、BrutePrint攻撃の有効性を評価する実験を行った。その結果、これらの攻撃は、「Xiaomi Mi 11 Ultra」や「Samsung Galaxy S10+」などの全てのAndroid、HarmonyOS搭載端末で無制限の試行を可能にすることに成功した。
「Apple iPhone 7」などのiOS端末では15回の試行までしかできないことが分かった。
(抜粋)
-
セキュリティアップデート待ち
-
今すぐセキュリティアップデートを
-
顔認証のiPhone使ってて良かったわ😃
-
中国人ヤバイ😨
-
これ意図的なバックドアじゃないの?
-
中国人のこの手の技術力は異常
-
当面、指紋認証は無効化してパスワード認証にしておいた方が良さそうだな
-
生体認証ってパスワードと違って変えられないから漏洩したら致命的な事にならんか?
-
そもそも指紋って何で全員違うんだよ
本当に神が居て、こういう風になるって予測して人間を設計したみたいな感じやんか
こえーよ -
>>12
似てるのがいるから突破されるんやろ -
>>12
ち●こもま●こも似ているが人それぞれなんだぜ -
arrows使ってる老人めっちゃいるぞ。
セキュリティアップデートどうすんだ? -
ぶっちゃけ戦争に使ってくるからアメリカもヤバいな
-
3段階認証にするしかないのか
-
>>17
スマホ二台持ちを義務化してもう片方でロック解除するのか?w -
もう物理鍵しかない
-
生体認証を禁止すれば解決
-
またiphoneの一人勝ちか(´・ω・` )
-
日本はデジタルを推進したいなら自民を下ろすしかないんだよ
じゃないとデジタルをお題目に無駄な金だけがかかって
アナログよりもコスパが悪くなる電子マネーの参加店舗が手数料を取られるせいで儲けが減るのと同じ
デジタルを無駄にカマすせいで金が余計にかかる -
>>22
代わりにどこを政権にすえるのか
その根拠まで書いてくれないと
説得力がなぁ -
>>37
お前に説得したって仕方ないだろ -
>>43
取り敢えず自民のままだと誰かの懐に入れることしか考えないからなあ -
>>44
しかも使えないものを無理矢理普及させるために
合理的な紙をわざわざ廃止して挙げ句の果てには
税金を財源にポイントを万単位ずつバラまくっていうw自民の掲げるデジタルは悪いやつのためでしかないんだよ
-
まぁ机上の空論だよね
ワイは犯罪者じゃないからどこかで指紋取られたことないし -
>>23
銀行やペイアプリの個人認証に本体の指紋データを使ってたらアウトなんじゃ -
>>23
交通事故の被害者だけど指紋取られたよ -
別にスマホ落とさなければいいだけ
-
本体が必要なのです
-
チャンコロナ4ね
-
警察に逮捕されてスマホ押収されたら警察はロックどうやってんの?
-
最初からそのつもりのスマホ
-
穴を見つけて公開してくれるなんて社会貢献やん
-
中国人ってホント厄介だな
-
顔認証の方がサンプル集めるの楽そうだが
-
LINE紐づいてるマイナンバーのデータと合わせたら最強ですな
-
Androidにセキュリティを求めるのが間違い
-
まっちぽんぷ
-
>学術データセットや生体認証データの漏えい
学術データセット→入国時や諸々に合法で採取したもの
生体認証データの漏洩→中華スマホでこっそり集めたもの
ってこと? -
>>39
なるほど
中華スマホなら指紋集め簡単だ -
三国人のハッタリにご注意
-
指紋と虹彩のW認証しかなくね?
-
>>46
掌の静脈 -
もう肛門認証しかないな
-
総当たり作戦かよ
中国人らしいな
コメント