1: ジャンピングエルボーアタック(北海道) [TW] 2023/05/31(水) 12:58:30.92 ID:A9AIomvU0 BE:422186189-PLT(12015)
sssp://img.5ch.net/ico/folder1_03.gif
スマホの指紋認証を解除する攻撃 専用機器と大量の指紋サンプルで連続アタック 中国チームが発表
https://www.itmedia.co.jp/news/articles/2305/31/news082.html
中国のTencentと浙江大学に所属する研究者らが発表した論文「BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack」は、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告である。
この攻撃は、物理的にスマートフォンのスキャン箇所に専用機器を設置し、大量の指紋サンプルを連続で試して解除する、ブルートフォースアタック(総当たり攻撃)を実行する。そのために、連続で指紋認証に失敗した際にロックがかかる機能をあらかじめ解除する、脆弱性をついた攻撃を行う。
まず研究者らは、総額約15ドルの部品で構築できる基板状の専用機器を開発する。次に、大量の指紋サンプルを必要とするため、学術データセットや生体認証データの漏えいから取得する。
任意の指紋サンプルデータをそのまま使うのではなく、攻撃を容易にするためにスマートフォン向けに特化した指紋画像に学習モデルで変換する。
変換した大量の指紋サンプルを使って解除できるまで連続攻撃を行うのだが、スマートフォンには指紋認証で数回失敗すると指紋認証が実行できなくなるロックアウトモード機能が備わっている。
この機能を突破するため研究者らは、CAMF(CancelAfter-Match-Fail)とMAL(Match-After-Lock)のどちらかの脆弱性を悪用することで試行回数制限の解除を行い、無制限の攻撃を可能にしている。
広く使われているスマートフォン10機種を対象に、BrutePrint攻撃の有効性を評価する実験を行った。その結果、これらの攻撃は、「Xiaomi Mi 11 Ultra」や「Samsung Galaxy S10+」などの全てのAndroid、HarmonyOS搭載端末で無制限の試行を可能にすることに成功した。「Apple iPhone 7」などのiOS端末では15回の試行までしかできないことが分かった。
(抜粋)
スマホの指紋認証を解除する攻撃 専用機器と大量の指紋サンプルで連続アタック 中国チームが発表
https://www.itmedia.co.jp/news/articles/2305/31/news082.html
中国のTencentと浙江大学に所属する研究者らが発表した論文「BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack」は、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告である。
この攻撃は、物理的にスマートフォンのスキャン箇所に専用機器を設置し、大量の指紋サンプルを連続で試して解除する、ブルートフォースアタック(総当たり攻撃)を実行する。そのために、連続で指紋認証に失敗した際にロックがかかる機能をあらかじめ解除する、脆弱性をついた攻撃を行う。
まず研究者らは、総額約15ドルの部品で構築できる基板状の専用機器を開発する。次に、大量の指紋サンプルを必要とするため、学術データセットや生体認証データの漏えいから取得する。
任意の指紋サンプルデータをそのまま使うのではなく、攻撃を容易にするためにスマートフォン向けに特化した指紋画像に学習モデルで変換する。
変換した大量の指紋サンプルを使って解除できるまで連続攻撃を行うのだが、スマートフォンには指紋認証で数回失敗すると指紋認証が実行できなくなるロックアウトモード機能が備わっている。
この機能を突破するため研究者らは、CAMF(CancelAfter-Match-Fail)とMAL(Match-After-Lock)のどちらかの脆弱性を悪用することで試行回数制限の解除を行い、無制限の攻撃を可能にしている。
広く使われているスマートフォン10機種を対象に、BrutePrint攻撃の有効性を評価する実験を行った。その結果、これらの攻撃は、「Xiaomi Mi 11 Ultra」や「Samsung Galaxy S10+」などの全てのAndroid、HarmonyOS搭載端末で無制限の試行を可能にすることに成功した。「Apple iPhone 7」などのiOS端末では15回の試行までしかできないことが分かった。
(抜粋)
引用元:https://hayabusa9.5ch.net/test/read.cgi/news/1685505510/
2: ミラノ作 どどんスズスロウン(ジパング) [NL] 2023/05/31(水) 13:01:13.37 ID:2GMM+PjN0
こう言うことやらせたら世界一だな
指紋も集めてんだろうなぁ
指紋も集めてんだろうなぁ
3: ジャンピングパワーボム(愛知県) [GB] 2023/05/31(水) 13:01:30.70 ID:vT2MxvDY0
Androidの指紋認証は本人でも失敗する
5: ファイナルカット(秋田県) [ニダ] 2023/05/31(水) 13:02:23.32 ID:Nof/ZxJX0
手ガサガサだと認識しないのにAIでは認識されちゃうんかい
6: スターダストプレス(光) [JP] 2023/05/31(水) 13:03:20.88 ID:X7++JJFF0
いつでもノーガードだから平気
7: オリンピック予選スラム(神奈川県) [US] 2023/05/31(水) 13:05:14.59 ID:IlX9Uzrc0
指紋認証使わんし
8: キドクラッチ(ジパング) [US] 2023/05/31(水) 13:05:20.52 ID:bFEZhFkz0
すごい技術力だな
9: エメラルドフロウジョン(京都府) [US] 2023/05/31(水) 13:07:26.96 ID:wr35rMcU0
androidは試行回数を制限してないのか あほや
40: 稲妻レッグラリアット(静岡県) [US] 2023/05/31(水) 16:20:47.32 ID:tjQr+xdh0
>>9
その制限を突破する方法を作ったんよ
だから無制限チャレンジ出来る
その制限を突破する方法を作ったんよ
だから無制限チャレンジ出来る
10: 栓抜き攻撃(香川県) [DE] 2023/05/31(水) 13:08:34.99 ID:NFeau+JA0
今時指紋って
12: セントーン(茸) [FR] 2023/05/31(水) 13:08:41.08 ID:zDCrFQ3Y0
また端末、機種とOSがわからないスレかよ
13: オリンピック予選スラム(栃木県) [ニダ] 2023/05/31(水) 13:09:34.82 ID:zQuGqTlk0
セキュリティがガバガバなのにAndroid選択するバカ
14: エルボードロップ(東京都) [US] 2023/05/31(水) 13:10:53.24 ID:Xqq6Sk4m0
Androidの指紋認証、顔認証はなんちゃって認証だからな
15: エルボードロップ(茸) [JP] 2023/05/31(水) 13:29:58.21 ID:b0KL0PAx0
生体認証データの漏洩から指紋サンプル取得ってサラッと書いてて笑える
そっちのがやべーだろ
そっちのがやべーだろ
16: リバースパワースラム(熊本県) [ニダ] 2023/05/31(水) 13:36:29.61 ID:RinsmDQd0
17: サソリ固め(ジパング) [IT] 2023/05/31(水) 13:42:06.16 ID:7h/kZ9VW0
>>16
なんだこれ
なんだこれ
18: ニールキック(東京都) [US] 2023/05/31(水) 13:42:25.94 ID:r/ZvRs4P0
いうか指紋でブルートフォースが有効なんか?w
唯一無二とちゃうんかい
あるいは俺の指紋もそのサンプルデータに含まれてるんか?
唯一無二とちゃうんかい
あるいは俺の指紋もそのサンプルデータに含まれてるんか?
19: ウエスタンラリアット(千葉県) [CN] 2023/05/31(水) 13:46:46.88 ID:X744ZMrQ0
わざわざ発表して中国に何のメリットがあるの?Android側に試行回数とか対策されて通用しなくなるだけじゃないの?
21: フロントネックロック(茸) [ニダ] 2023/05/31(水) 13:56:41.59 ID:Fwqr6Eec0
約80億人の指紋データをクラウドで参照し0.1秒の速度で適合させる量子コンピュータを内蔵させるなんて中華はやっぱ凄いな
23: ヒップアタック(福岡県) [DE] 2023/05/31(水) 14:03:22.96 ID:iq7044t+0
てか指紋認証の試行上限設定すれば何も問題ないじゃん
24: テキサスクローバーホールド(東京都) [PA] 2023/05/31(水) 14:06:38.71 ID:yM4oklpF0
発表されたということは対策されて終わりだな
25: デンジャラスバックドロップ(宮城県) [DZ] 2023/05/31(水) 14:20:09.91 ID:P7BiGjA90
指紋のブルートフォースかよ
26: ショルダーアームブリーカー(東京都) [RU] 2023/05/31(水) 14:23:21.96 ID:LAZo82St0
ホントかよ?そんな簡単に突破できるのか?
オレのアクオスとか自分で指紋認証したのに
「指紋認証が確認できません」「指紋認証が確認できません」「3回失敗したのでパスワード解除して下さい」
とかって指紋の意味ねーんだけど
オレのアクオスとか自分で指紋認証したのに
「指紋認証が確認できません」「指紋認証が確認できません」「3回失敗したのでパスワード解除して下さい」
とかって指紋の意味ねーんだけど
29: ジャンピングDDT(ジパング) [DE] 2023/05/31(水) 14:42:37.21 ID:f7hAAPtZ0
>>26
お前のお手手がばっちぃのよ
お前のお手手がばっちぃのよ
28: ダイビングヘッドバット(ジパング) [ヌコ] 2023/05/31(水) 14:31:22.18 ID:CrUfWMyY0
ていうか認識ロックアウトを回避できるとかクソみたいな脆弱性じゃん
androidなにやってんのはよ直せ
androidなにやってんのはよ直せ
31: 河津落とし(神奈川県) [CN] 2023/05/31(水) 14:48:30.10 ID:VaMotCrM0
iPhoneでも他人が顔認証通ったとかあるしな
同じアイドルグループ内でとかだったっけかな
同じアイドルグループ内でとかだったっけかな
34: エメラルドフロウジョン(光) [ニダ] 2023/05/31(水) 15:13:39.10 ID:1by5+4230
指紋認証使ってないから大丈夫
37: ボマイェ(光) [EU] 2023/05/31(水) 15:34:44.00 ID:MY/6ft2w0
使ってる人たちはiPhoneを鼻で笑って情強ぶってAndroid使ってるからその対策もできるんでしょう
42: ファイヤーボールスプラッシュ(茸) [SK] 2023/05/31(水) 16:28:31.24 ID:g9wGP0GJ0
つかそれやって一番損するのも中国じゃね?
46: ニーリフト(茸) [ニダ] 2023/05/31(水) 18:40:25.51 ID:Cv4APLI70
iPhoneはネコの肉球で指紋認証解除出来るんやで
49: アルゼンチンバックブリーカー(佐賀県) [US] 2023/05/31(水) 21:34:08.73 ID:lMSgE/jm0
中国で手のひらで電車の改札通れるようになるとか
ニュースがあったから生体情報は全部国が保管してそう
空港とかにある顔で温度図る機械も怖いな
誰がどこに移動してどこにいるとか
すぐわかるんだろうな
ニュースがあったから生体情報は全部国が保管してそう
空港とかにある顔で温度図る機械も怖いな
誰がどこに移動してどこにいるとか
すぐわかるんだろうな
45: ワクチン接種に行こう!(千葉県) [US] 2023/05/31(水) 18:00:17.79 ID:DsNGk60h0
よかったWindows Helloは安全なんだね
| ■お気に入りブログの最新記事 |
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
あ(09/25)
名無しZさん(09/25)
774@本舗(09/25)
名無しZさん(09/25)
名無しさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)
名無しZさん(09/25)