スマートフォンは、紛失や盗難に遭いやすいデバイスとしては比較的大容量のストレージを搭載しています。スマートフォンに保存されているデータや情報は、自分で設定した巧妙なパスコードで保護されていると思うかもしれませんが、研究者たちは、指先についた油汚れからパスコードを解読できる可能性があると結論付けました。
ペンシルベニア大学の研究チームは、今週ワシントンD.C.で開催された第4回Usenix Workshop on Offensive Technologiesカンファレンス(WOOT '10)において、「スマートフォンのタッチスクリーンに対する指紋攻撃」と題した論文を発表しました。研究者らは、タッチスクリーン上の指紋に基づいてスマートフォンのパスワードを解読する手法について説明しています。
研究論文では、「タッチスクリーンの表面に油性の残留物、つまり汚れが残ることは、タッチ操作の副作用の一つであり、そこからグラフィカルパスワードなどの頻繁に使用されるパターンが推測される可能性がある」と説明されています。つまり、指が油性の汚れを残すことで、攻撃者はタッチスクリーン上で指がどこに触れたかを特定し、パスワードを解読できる可能性があるということです。
研究チームは、スマッジ攻撃がスマートフォンのセキュリティにとって脅威となる3つの理由を挙げています。「第一に、汚れは驚くほど長期間にわたって消えません。第二に、デバイスを拭いたりポケットに入れたりすることで、偶然に汚れを隠したり消したりすることは驚くほど困難です。そして最後に、油性残留汚れの収集と分析は、カメラやコンピューターなどの容易に入手できる機器で行うことができます。」
研究論文によると、研究チームはテスト結果を「非常に有望なもの」と捉えた。「しかし、IT管理者やスマートフォン所有者は、この結果を落胆させるものと捉えるかもしれない。ある実験では、テストした照明とカメラの設定のうち、92%でパターンが部分的に、68%で完全に識別できた。最もパフォーマンスが低かった実験では、パターン入力条件が理想的とは言えなかったが、それでも37%の設定で部分的に、14%の設定で完全にパターンを抽出できた。」
セキュリティ リスクはある程度、すべてのタッチスクリーン スマートフォンに存在しますが、従来の数字や英数字の PIN ではなくスワイプ パターンに依存する Android デバイスでは、リスクはさらに大きくなります。
Androidは9つの円のパターンを表示し、ユーザーは点を繋げる方法でパスコードを作成できます。指をディスプレイから離さずにパターンを完成させるため、油汚れによってどの円がパスコードの一部であるかが分かり、スマートフォンの所有者の指が描いた順序やパターンも分かります。
一方、攻撃者はiPhoneユーザーの指が画面のどこに触れたかは特定できるかもしれませんが、数字や文字がどの順序で入力されたかは特定できない可能性があります。また、パスワード内で同じ数字や文字が繰り返されているかどうか、あるいは何回繰り返されているかも、必ずしも特定できるとは限りません。
それでも、Androidスマートフォン、iPhone、その他のタッチスクリーンスマートフォンのいずれを使用している場合でも、この研究チームが発表した調査結果は、タッチスクリーンパスコードの有効性に対する懸念を浮き彫りにしています。そろそろ画面拭き用のウェットティッシュに投資する時期かもしれません。
