Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Face IDは未だ強固だった

BlackHatで発表されたFace ID突破方法ですが、記事の内容とは反対に、この程度の攻撃しか見つかってないので、私は意外とFace ID強いな・・と感じてしまいました。

gigazine.net

 

研究者は、活性検出がユーザーの目をどのようにスキャンするかに特に注目しました。彼らは、活性検出のための目の抽象化により、黒い点(目)に白い点(虹彩)が表示されることを発見しました。そして、ユーザーが眼鏡をかけている場合、活性検出が目をスキャンする方法が変わることを発見しました。

「調査の結果、FaceIDの弱点が見つかりました。眼鏡をかけている間、ユーザーはロックを解除できます。眼鏡をかけている場合、眼鏡を認識したときに眼の領域から3D情報を抽出しません。」

これらの2つの要素を組み合わせて、研究者は「X-glasses」と呼ばれる眼鏡のプロトタイプを作成しました。レンズの黒いテープと黒いテープの内側に白いテープがあります。このトリックを使用して、彼らは犠牲者の携帯電話のロックを解除し、FaceIDと他の類似技術の両方の注意検出メカニズムをバイパスするために、眠っている犠牲者の顔の上にテープ付きメガネを置くことで、モバイル決済アプリを通して彼のお金を転送することができました。

(threatPost記事より引用)※機械翻訳

 

◆キタきつねの所感

物理的ハッキングは、たしかにその通りなんでしょう。しかしAppleが生体認証のロジックをそのままにしているとは思いませんので、あまり時間がかからずに修正パッチが出てくるのではないでしょうか。お金が送れるので成功だ!と研究者ですから当然そう主張するのだと思いますが、脅威レベルではネットから侵害されるようなものではなく、攻撃者が物理的に被害者の近くに居る必要がある攻撃ですので、犯罪に対して足がつきやすい傾向があるかと思います。

また、寝ている方・・・というのが条件であるので、研究者も書いてますが、意外に条件が難しいかと思います。

攻撃には明ら​​かな欠点があります。被害者は意識を失ってはならず、メガネを顔に当てたときに目を覚ますことができません。ただし、研究者によると、一般に、生体検知と生体認証のセキュリティと設計の背後にある弱点を示しています。

軽減の観点から、研究者たちは、バイオメトリクスのメーカーがネイティブカメラのID認証を追加し、ビデオおよびオーディオ合成検出の重みを増やすことを提案しました。

(ThreatPost記事より引用)

 

この発表を聞いて思ったのが、普段から目を開けて寝ている人なら、こんな事しなくても一発でFaceID突破できるのではないか・・・という事ですが、テープで瞼を開けてしまうという手でも突破できてしまうかも知れません。

 

参考?:

gifmagazine.net

 

この攻撃よりも、私は父親が寝ている時に、TouchIDを娘が解除してしまう攻撃の方が、目から鱗で脅威に感じます。(これがあったからFaceIDになったという説も・・・)

ãiphone æç´ å¯ã¦ãããã®ç»åæ¤ç´¢çµæ 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190811165350p:plain


 

更新履歴

  • 2019年8月11日PM(予約投稿)