-
スマホの指紋認証を解除する攻撃 専用機器と大量の指紋サンプルで連続アタック 中国チームが発表
https://www.itmedia.co.jp/news/articles/2305/31/news082.html中国のTencentと浙江大学に所属する研究者らが発表した論文「BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack」は、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告である。
この攻撃は、物理的にスマートフォンのスキャン箇所に専用機器を設置し、大量の指紋サンプルを連続で試して解除する、ブルートフォースアタック(総当たり攻撃)を実行する。そのために、連続で指紋認証に失敗した際にロックがかかる機能をあらかじめ解除する、脆弱性をついた攻撃を行う。
まず研究者らは、総額約15ドルの部品で構築できる基板状の専用機器を開発する。次に、大量の指紋サンプルを必要とするため、学術データセットや生体認証データの漏えいから取得する。
任意の指紋サンプルデータをそのまま使うのではなく、攻撃を容易にするためにスマートフォン向けに特化した指紋画像に学習モデルで変換する。
変換した大量の指紋サンプルを使って解除できるまで連続攻撃を行うのだが、スマートフォンには指紋認証で数回失敗すると指紋認証が実行できなくなるロックアウトモード機能が備わっている。
この機能を突破するため研究者らは、CAMF(CancelAfter-Match-Fail)とMAL(Match-After-Lock)のどちらかの脆弱性を悪用することで試行回数制限の解除を行い、無制限の攻撃を可能にしている。
広く使われているスマートフォン10機種を対象に、BrutePrint攻撃の有効性を評価する実験を行った。その結果、これらの攻撃は、「Xiaomi Mi 11 Ultra」や「Samsung Galaxy S10+」などの全てのAndroid、HarmonyOS搭載端末で無制限の試行を可能にすることに成功した。「Apple iPhone 7」などのiOS端末では15回の試行までしかできないことが分かった。
(抜粋)
-
こう言うことやらせたら世界一だな
指紋も集めてんだろうなぁ -
Androidの指紋認証は本人でも失敗する
-
こんな事したら中国共産党に捕まっちゃうんじゃね?
-
手ガサガサだと認識しないのにAIでは認識されちゃうんかい
-
いつでもノーガードだから平気
-
指紋認証使わんし
-
すごい技術力だな
-
androidは試行回数を制限してないのか あほや
-
今時指紋って
-
指紋消せるんじゃなかったっけ?
支那鮮は -
また端末、機種とOSがわからないスレかよ
-
セキュリティがガバガバなのにAndroid選択するバカ
-
Androidの指紋認証、顔認証はなんちゃって認証だからな
-
生体認証データの漏洩から指紋サンプル取得ってサラッと書いてて笑える
そっちのがやべーだろ -
いうか指紋でブルートフォースが有効なんか?w
唯一無二とちゃうんかい
あるいは俺の指紋もそのサンプルデータに含まれてるんか? -
わざわざ発表して中国に何のメリットがあるの?Android側に試行回数とか対策されて通用しなくなるだけじゃないの?
-
約80億人の指紋データをクラウドで参照し0.1秒の速度で適合させる量子コンピュータを内蔵させるなんて中華はやっぱ凄いな
-
> 大量の指紋サンプルを必要とするため、学術データセットや生体認証データの漏えいから取得
サラッと書くね
-
>>22
「中華端末使ってる人から収集しました」
ってだけだよな。
中華端末使ってもデメリットなし!って言ってる奴はまだ平気なんだろうな -
てか指紋認証の試行上限設定すれば何も問題ないじゃん
-
発表されたということは対策されて終わりだな
-
指紋のブルートフォースかよ
-
ホントかよ?そんな簡単に突破できるのか?
オレのアクオスとか自分で指紋認証したのに
「指紋認証が確認できません」「指紋認証が確認できません」「3回失敗したのでパスワード解除して下さい」
とかって指紋の意味ねーんだけど -
>>26
お前のお手手がばっちぃのよ -
>スキャン箇所に専用機器を設置し
物理で草 -
ていうか認識ロックアウトを回避できるとかクソみたいな脆弱性じゃん
androidなにやってんのはよ直せ -
iPhoneでも他人が顔認証通ったとかあるしな
同じアイドルグループ内でとかだったっけかな
コメント一覧