Cisco Talos サイバーセキュリティ グループの研究者は、3D プリント技術と繊維用接着剤を使用して作成された偽の指紋を使用して、電話、ラップトップ、その他のデバイスの指紋認証システムをどのように騙してバイパスできるかを実証しました。
研究者のPaul Rascagneres氏とVitor Ventura氏によると、印刷された偽造指紋はさまざまなデバイスでテストされ、平均して約80%の成功率を達成することができたという。
指紋センサーには、静電容量式、光学式、超音波式の 3 つの主なタイプがあります。これらの各センサーの動作は、金型で使用される材料と収集方法に応じて若干異なります。
最も一般的なタイプは静電容量式で、身体の自然電流を使用して指紋を読み取りますが、光学式センサーは光を使用して指をスキャンし、画像を作成します。最新タイプの超音波センサーは、画面上のセンサーによく使用されており、超音波を使用して物理的な物体 (この場合は指) で反射します。エコーは指紋センサーによって読み取られるため、超音波センサーは最も簡単にバイパスされます。
「私たちのテストでは、センサーが少なくとも 1 回バイパスされた偽の指紋を使用しながら、平均して約 80% の成功率を達成したことがわかりました。この成功率に達するのは難しく、退屈な作業でした。スケーリングと材料の物理的特性に関連するいくつかの障害と制限が見つかりました」と Talos の Vitor Ventura 氏と Paul Rascagneres 氏は説明しました。研究分析。
「それでも、このレベルの成功率は、PIN ロック解除に戻る前に、テストしたデバイスのいずれかのロックを解除できる可能性が非常に高いことを意味します。この結果は、指紋は一般の人が携帯電話を紛失した場合にプライバシーを保護するのに十分であることを示しています。ただし、資金が豊富で動機のある攻撃者によって標的にされる可能性がある人は、指紋認証を使用すべきではありません。」
研究者らは 3D プリンターを使用して金型を作成し、UV チャンバーで硬化させました。彼らはその型を使って偽の指紋を作成し、それをシリコンと布用接着剤を含む材料にキャストしました。
「テスト中に、特に音波センサーと静電容量センサーを比較する場合、使用される素材がセンサーの種類に応じた決定要因であることが明らかになりました。成功率を高めるために、シリコンとさまざまな種類の接着剤を使用し、導電性(グラファイトとアルミニウム)粉末を混ぜ合わせました」と彼らは言いました。
研究者らは、テストプロセスのために 2,000 ドルの予算と 13 台のスマートフォン、ラップトップ、その他のデバイスを用意しました。検査プロセスを開始するために、研究者らは例として悪名高いギャング、アル・カポネの公開されている指紋を使用した。ほとんどの人が通常、デバイスに指紋センサーを使用しているため、モバイル デバイスが最適な標的であることが判明しました。
「これらのデバイスは、指紋認証に関する最初の研究の対象でもあり、これにより、このプラットフォームの技術がさらに成熟するはずです。しかし、その結果は、携帯電話の指紋認証が最初に破られた2013年に比べて脆弱化していることを示している」と彼らは述べた。
研究者らは、iPhone 8、Samsung S10、Huawei P30 Lite、MacBook Pro 2018、iPad 第 5 世代、Samsung Note 9、Honor 7X、および AICase Padlock で偽の指紋をテストすることに成功しました。ただし、Samsung A70 電話、Lexar Jumpdrive Fingerprint F35、Verbatim Fingerprint Secure USB 暗号化ペン ドライブにはアクセスできませんでした。
研究者らは、指紋認証を回避するプロセスが一般人にとって非常に複雑で時間と費用がかかることを考慮すると、指紋認証は大多数の人にとって十分であると結論付けた。
「指紋認証を常用しているユーザーにとって、そのメリットは明白であり、活用すべきです。ただし、ユーザーの知名度が高い場合、またはデバイスに機密情報が含まれている場合は、強力なパスワードとトークンの 2 要素認証をより信頼することをお勧めします」と彼らは書いています。
