Tencent の Yu Chen 氏と浙江大学の He Yiling He 氏によると、偽の指紋は一部の Android スマートフォンのロックを解除するために使用される可能性があります (Ars Technica)。

研究者らは、2 つのゼロ-ほぼすべてのスマートフォンの指紋認証フレームワークに存在する脆弱性を悪用すると、Android 端末のロックを解除できる可能性があります。

この攻撃は「BrutePrint」と名付けられています。マイクロコントローラー、アナログ スイッチ、SD フラッシュ カード、基板間コネクタを備えた 15 ドルの回路基板が必要です。攻撃者は被害者のスマートフォンを少なくとも45分間所持し続ける必要があり、指紋のデータベースも必要となります。研究者らは8台のAndroidスマートフォン(Xiaomi Mi 11 Ultra、Vivo X60 Pro、OnePlus 7 Pro、OPPO Reno)をテストしました。 Ace、Samsung Galaxy S10+、OnePlus 5T、Huawei Mate30 Pro 5G、Huawei P40-および 2 台の iPhone-iPhone SE と iPhone 7。スマートフォンでは指紋認証の試行回数が制限されていますが、BrutePrint はその制限を回避できます。指紋認証プロセスでは、入力された値とデータベースの値が直接一致する必要はありません。基準しきい値を使用して一致を判断します。悪意のある攻撃者は、指紋データベースに保存されている画像によく似た画像が使用されるまで、さまざまな入力を試すことでこれを利用できます。

攻撃者は、15 ドルの回路基板を取り付けるために携帯電話の背面カバーを取り外す必要があります。攻撃を実行します。研究者らは、この方法を使用して 8 台の Android スマートフォンすべてのロックを解除することができました。スマートフォンのロックが解除されると、支払いの承認にも使用できます。

スマートフォンの指紋認証では、シリアル周辺機器インターフェイスを使用してセンサーとスマートフォン チップを接続します。 Android はデータを暗号化しないため、BrutePrint はターゲット デバイスに保存されている画像を盗むことができます。

Security Boulevard は、Google の最新標準に準拠した携帯電話ではこの攻撃は機能しない可能性が高いため、新しい Android スマートフォンの所有者は心配する必要はないと述べています。

Categories: IT Info