スマホの指紋センサーから指紋情報を抜き、復元する攻撃 25
ストーリー by nagazou
攻撃 部門より
攻撃 部門より
香港城市大学と米ジョージ・メイソン大学に所属する研究者らは、スマートフォンのディスプレイ内指紋センサーから指紋データを盗み出し、3Dプリンタで偽の指紋を作成する攻撃方法を発表したそうだ(ITmedia)。
この攻撃では、盗んだ指紋データをもとに3Dプリンタで造形した偽の指紋を指に貼り付け、その偽の指紋を使って生体認証を騙ることが可能だという。研究ではユーザーがディスプレイ内指紋センサーを押す際に放出される電磁波を専用装置で検出、それをもとに3D指紋ピースを作成したという。
この攻撃は被害者の指紋情報を事前に知らなくても実行可能で、ハードウェアやソフトウェアを侵害する必要もなく、高価な装置も不要。かつ異なる種類のスマートフォンでこの攻撃が実行可能であり、指紋画像を50.3%から75.0%の範囲で復元する能力が示されたとしている。
生体認証は認証として不適切 (スコア:2, 参考になる)
生体認証は認証として不適切だから仕方ないね。
野ざらしで誰でも読める情報を鍵にするべきじゃない。
複製キーが作られた事が判明しても鍵が変更できないとかどうしようもない。
# 生体認証必須のシステムと複製キーを作られてしまった経験のある人間が居たとき、
# 運用ルール的にどうなるんだろうね。複製キーが存在して保護能力ゼロのまま運用?
# もしくは利用権の剥奪?社会上必須のシステムとかでそれされたら楽しい楽しいディストピアだね!
「僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。」 [takagi-hiromitsu.jp]
変な情報をセキュリティに使うんじゃねーよ全くもう…………
Re: (スコア:0)
複製キーが作られた事が判明しても鍵が変更できないとかどうしようもない。
指に残る傷をつければ変えられる
# リアルに身を削る必要がある糞仕様だよねぇ
Re: (スコア:0)
「野ざらしで誰でも読める情報を鍵にするべきじゃない。」「変な情報をセキュリティに使うんじゃねーよ全くもう」って・・・
やっぱアレを登録してつかうんでしょうか・・・やだはずかしい(ポッ
Re: (スコア:0)
企業オフィスはともかく個人宅のセキュリティであれば、ピッキングや物理破壊を上回る(手間がかかる)強固さを担保してればいいだけなんで、
今回の手法がめっちゃお手軽簡単にできない限りは関係無いでしょう。
生体認証はセキュアさより利便性寄りの物だと思う (スコア:1)
スマートフォンの使用頻度で毎回PIN入れる手間を考えればかなり有用な手段。
ただ生体情報って割と容易に盗める印象がある(血の通った指じゃないと通らない指紋認証や、注視を求める顔認証もあるけど)
だから手元に置けない端末には導入しちゃいけないし、寝る時なんかは一時的に無効にしておくのが正解じゃないかな?と思う。
Androidならロックダウン、iPhoneなら電源+音量上長押しで無効にできる。
指紋認証ってレガシー? (スコア:0)
昔は入室に指紋登録して認証するのがそこそこあったけどいつの間にかほとんど無くなってますね
なんでやろ?
Re:指紋認証ってレガシー? (スコア:1)
冬場の対策用のクリームが置いてあったりするんですが、指紋の認証面がそいつでベタベタになっていたりとか。
Re: (スコア:0)
手首の切り取り被害が増えるから
適材適所というものが (スコア:0)
なんでかは知らんが、
指紋だと認識できない人が多くて、カードキーも併用したりする必用があるから。
「それだったらカードキー オンリーでいいじゃん」ってなりそうな気が。
セキュリティ的にも指紋はコピーが盗られるリスクの高い方だから、重要施設の
鍵には使えない。それに不特定多数の認識も苦手だよね。
スマホみたいに個人用で、利便性重視の用途の方が相性がよさそう。
重要エリアの入室用にはイマイチ。
Re: (スコア:0)
カードキーはコピーは取りにくいかもだが盗まれるリスクは高いし、何より人に貸したり借りたりが簡単かつ普通に行われてたり…。まぁそこがいいのかw
Re:適材適所というものが (スコア:1)
盗難や紛失は就業規則でカバーするくらいかな。貸し借りも同様。
紛失時は即座に報告して無効化。報告が遅れたら処罰の対象。
指紋の方は普段からそこら中に跡を残しているせいで盗まれたことを
検出しにくいし、無効化しても新しい指紋に切り替えできないのは
デメリットかな。
それとカードキーを社員証やタイムカードも兼ねることで、貸し借りを
難しくしてる例は多いようだ。そのキーで入室することで、はじめて
出社扱いになる。
Re: (スコア:0)
個人情報だからじゃない?
Re: (スコア:0)
指紋認証の入退室管理なんて経験したことないな。
Re:指紋認証ってレガシー? (スコア:1)
データセンターが指紋認証で、毎回登録が必要でめんどくさかったけど
コロナ禍で入室カード発行に切り替えられてた
Re: (スコア:0)
銀行の指紋認証ATMも終了したところがありますよ。
Re: (スコア:0)
意外と読めなくて面倒くさい上にセキュリティ的にはガバガバだからなぁ……
隠せない、共通、交換不能って、鍵として終わってる
電磁波をキャッチ!? (スコア:0)
電磁波は届く距離なら出来るってことか
ということはスマホじゃなくても出来そうだね
ただ電磁波の届く範囲に近付く必要があるけど
そんな近くに専用装置があったら疑われるわなw
小型化されてわかりにくいように設置できるようになったら
指紋認証装置の近くに貼り付けて、というのが出来そうだね
Re: (スコア:0)
指紋認証が必要になる場所に、いかにも「スマホ操作はこのテーブルでどうぞ」と言わんばかりの読み取り装置内蔵(ついでにワイヤレス充電パッドとかUSB給電口とかがあるとカンペキ)テーブルを置いとくだけでかなり確率上げられそう。
Re: (スコア:0)
ついでにガラスコップに水をいれて提供すれば、指紋そのものを採取できそう。
# それを防ぐために足の指で指紋認証を……
Re: (スコア:0)
実際どのくらいの大きさか
あまり高価ではないらしいですし(安いとは言っていない
香港城市大学に米ジョージ・メイソン大学…。 (スコア:0)
えーと、陰謀論を唱える方々が出てきそうな大学名ですね…。
#私、気になります!
ともあれ、指紋認証を含め、生体認証は消え去るべきかと…。
指の持ち去り事件は元より、静脈認証や虹彩認証についても、突破の糸口があったり…。
#あまり、人間その物を鍵とするやり方は、利口とは言えません。
#にわかな奴ほど語りたがる -- あるハッカー
Re: (スコア:0)
スマホのロックには指紋や顔認証が最適だと思う。
パスワードでも本気で保護しようとするなら覗き見防止のために人前で解除できなくなるし。
スマホなんて突破されても被害はたかが知れてるから。
# なので、定期的にパスワード再入力を求めるのはやめてほしい。
Re: (スコア:0)
もう財布よりスマホの方が被害でかいのだが
で、現実的な攻撃手法なの? (スコア:0)
そもそもノイズにあふれた環境で実現可能な攻撃なの?
Re: (スコア:0)
モバイルバッテリーに仕込めるらしいから、善意の充電器を装うなり、テーブルに埋め込むなりすれば割と現実的な気がする。
不用意に机の上に置くなってことだな。