Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

浮気をしないのが最大のリスク予防ではありますが

 夕刊フジの4/12記事に浮気対策としての生体認証攻撃手法が出ていましたので、取り上げてみます。

www.zakzak.co.jp

不正指令電磁的記録供用とストーカー規制法違反容疑で警視庁に逮捕された東京都の会社員の男(29)は今年1月、当時住んでいた中野区の自宅で交際相手の女性が寝ている間、女性のスマホに位置情報を共有できるアプリを勝手にインストールし、破局後の3月には位置情報を基に復縁を求めてつきまとったり電話をかけたりした。

 スマホには指紋認証によるロックがかけられていたが、男は女性の指をスマホに近づけて解除していたとみられる。

ZakZak記事より引用)

 

◆キタきつねの所感

管理者ID(Touch ID)の窃取(破り方)方法についてですが、Touch Labさんの2013年9月の記事には既にこの懸念が発表されています。

 

f:id:foxcafelate:20180502092330p:plain

 ※写真引用:Touch Lab記事

 

TouchIDの弱点が非常に分かりやすい写真です。ついでに言えばTouchIDが出た時からこのリスクは言われていた気がします。

セキュリティを強化する手法としては、PINコードと併用する(2要素認証)事も可能ですが、面倒なのでやっている方は少ないかと思います。この写真の手法で、管理者IDを窃取された後に、自分の指紋を管理者として登録してしまえば、いつでもロックが解ける状態が作れます。

 

実際に、子供もこの手法に気づいてしまうケースもあります。ある意味、内部犯行には弱いと言えるのかもしれません。

japan.cnet.com

色々と調べていたら、原始的な手法でこの指紋攻撃を防げる方法がある事がわかりました。

www.appps.jp

通常はホームボタンに指を当てるだけでロックを解除できてしまうのですが、再起動後は必ずパスコードの入力を求められます。

(かみあぷ速報記事から引用

 

他にも、指の腹で登録する・・などの方法があるようです。小手先テクではありますが、色々考えられるものですね。

 

 

浮気現場を見つけた人のイラスト(女性)

 

更新履歴

  • 2018年5月3日AM(予約投稿)