研究者らによると、Androidスマートフォンの指紋セキュリティを回避するには15ドルの回路基板だけが必要

Android スマートフォンの指紋センサーは、これらのポータブル技術に追加される最も一般的なものと思われます。 指または親指を 1 回置くだけでハンドセットの所有者にデバイスへのアクセスを許可できるのは便利ですが、セキュリティ上のリスクが伴います。 一部の研究者は、Android を実行しているさまざまなデバイスに保存されている指紋のハイジャックが、15 ドルの安価な回路基板を介して可能であることを実証しました。

この 15 ドルの回路基板は研究者らによって BrutePrint と呼ばれており、Android スマートフォンに保存されている指紋を蓄積するのにわずか 45 分しかかかりません。 それが機能することを示すために、研究者らは 10 台のスマートフォンでテストしました。そのうち 2 台は iPhone SE と iPhone 7 で、残りは Google のモバイル OS を搭載した数年前のハイエンド モデルでした。

BrutePrint は、STMicroelectronics の STM32F412 マイクロコントローラー、RS2117 と呼ばれる双方向デュアルチャネル アナログ スイッチ、8GB の内部メモリを備えた SD カード、スマートフォンのマザーボードを指紋センサーの回路基板に接続するコネクタで構成されています。 BrutePrint は Android スマートフォンの脆弱性を悪用し、無制限の指紋推測を可能にし、データベース内で最も近い一致が見つかるとすぐにデバイスのロックが解除されます。

ただし、Android スマートフォンはそれぞれ異なる方法で作成されており、Ars Technica の報告によると、研究者らはハンドセットのロックを解除するのに 40 分から 14 時間かかることを発見しました。 テストした全 10 モデルの中で、Galaxy S10 Plus のロック解除にかかる時間は 0.73 ～ 2.9 時間と最も短く、Xiaomi Mi 11 Ultra のロック解除には 2.78 ～ 13.89 時間かかりました。 研究者らは、テストした 2 つの iPhone モデルのセキュリティを回避することに成功しませんでした。iOS はセキュリティ データを暗号化しますが、Android は暗号化しないため、消費者に懸念を引き起こす可能性があります。

幸いなことに、これらの研究者らは、このセキュリティエクスプロイトはオペレーティングシステムで軽減できると考えており、最新の発見によって人々が指紋データを暗号化するための慎重な措置を講じるようになることを期待している。 さらに、これらの研究者は、スマートフォンと指紋センサーのメーカーが協力して協力すれば、このようなセキュリティ上の脅威に対処できると述べています。 残るは、セキュリティが強化された将来の Android スマートフォンの出荷だけです。

通常の状況では、Android スマートフォンの指紋セキュリティをバイパスするのは非常に難しいと思われますが、だからといって、メーカーがこの悪用を完全に無視するわけではなく、安価な回路を使用することで可能になります。

ニュースソース: アルステクニカ