素人ユーザの攻撃の方がテスト検証の不備(脆弱性)をあぶり出すのに向いているのかも知れません。英Sunで今年の夏モデルであるGalaxy S10の指紋センサーが£2.7(約380円)の保護フィルムで破られたと報じられていました。
www.thesun.co.uk
MUMは、eBayで手に入れた£2.70のスクリーンプロテクターを装着した後、誰でもSamsung電話にアクセスできることを発見しました。
34歳のリサニールソンは、新しいS10を保護するためにゲルカバーを購入しました。
画面をオンにして、リサは電話にアクセスするために右の親指の指紋を設定しましたが、後で彼女の左を使用してロックを解除しました。
彼女は印刷物が携帯電話のロックを解除したことを発見した。
ウェストヨークス州キャッスルフォード出身のリサは、「誰でもアクセスでき、金融アプリにアクセスして資金を移動できる」と語った。
(中略)
サムスンの広報担当者は次のように述べています。「社内で調査中です。すべてのお客様に、Samsung製品専用に設計されたSamsung認定のアクセサリを使用することをお勧めします。」
(Sun記事より引用)※機械翻訳
◆キタきつねの所感
機械翻訳の文章がちょっと読みずらいのですが、eBayで400円程度で売っている安いスマホ画面保護フィルムを付けたら、指紋認証が誤認証する事を、英国の夫婦が見つけたという内容です。
Galaxy S10の場合、指紋認証は超音波指紋センサーを採用しており、従来の様に背面に固定の指紋リーダー等は無いので、指で指紋センサーを探りながらログインする必要が無いのでユーザにとっては使い勝手がよりよくなったサムソンのフラグシップ機種です。
japan.cnet.com
これが、サードパーティ製とは言え普通にスマホを買ったら誰でも貼るであろう、保護フィルムを使ってバイパスできた・・となると、サムソンは何を検証してから販売したの?と言われても仕方が無いのではないでしょうか。
こうした生体認証は、スマホロックが解除されるだけでなく、オンラインバンキング等でも認証として使われてしまう可能性もあるので、(バグが残っていれば)ユーザに大きな影響を与える可能性もあります。だからこそ、製品リリース前の(新たな技術採用に関する)検証が重要となってくると思います。
別な記事では、セキュリティ専門家がコメントを出していて、
Vectraのセキュリティ分析責任者であるChris Moralesは、アプリ開発者がデバイスやモダリティに依存しない方法でアプリケーションに生体認証を統合するために使用できる生体認証APIがAndroidに含まれているとThreatpostに語りました。ただし、現在、生体認証のサポートは指紋のみであり、指紋スキャナー自体の一貫性は考慮されていません。
「サードパーティのハードウェアメーカーは、顔認証などのその他のフォームや、デバイス認証のバイパスと脆弱化が容易であることが証明されている画面上の指紋スキャナーに、生体認証を組み込んでいます」と彼は言いました。「これは実証されていない技術であり、修正するには時間がかかります。これは、最初にセキュリティに焦点を当てていないサードパーティ製ハードウェアメーカーによる迅速な開発に支払う価格です。」
(Threat post記事より引用)※機械翻訳
と、技術重視でセキュリティ面の検証が不十分だった部分の修正には時間がかかる事を示唆しています。
しかし今回サムソンは、
同社は、BBCへのメディア声明で、「S10の指紋認識の誤動作の事例を認識しており、まもなくソフトウェアパッチを発行する」と述べました。
(Threat post記事より引用)※機械翻訳
と発表しているので、指紋読み取り精度設定などを調整して、すぐにパッチを出してくるのだと思いますが、リリース前に、素人ユーザを含めた実証テストをやっていかないと・・・今後も新しい技術を世界に先駆けて採用すると、今回のような落とし穴にはまってしまう可能性は高いかと思います。
余談ですが、今回英国の夫婦が£2.7で買った保護フィルムは、どのメーカーの製品なのかまったく公表されていませんでした。製品名が分かれば、旦那さんの行動監視をしたい奥様等にAmazon辺りで高く転売できたのに・・・
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴