ドイツの研究者たちは、サムスンギャラクシーS5の指紋スキャナーを騙して、本物の指ではなく指紋の型を受け入れるようにするのに、わずか4日しかかかりませんでした。
指紋認証はサムスンの新しい主力モデルの目玉機能の一つであるにもかかわらず、同社のその実装は「まだ改善の余地が大いにある」とSRLabsはYouTubeに投稿されたハッキングのデモ動画で述べた。
読んでください: サムスンギャラクシーS5レビュー: 改良された携帯電話だが、他のAndroidモデルより一歩遅れている
研究者たちはS5に実際の指の指紋を登録し、指紋の型を使ってロックを解除した。これは昨年AppleのTouchIDを偽装するために使用されたものと同じものだ。動画では、実験室環境で作製した型を使ってサムスンの実装を回避できることが示されているが、SRLabsによると、この仕組みはスマートフォンの画面に残された指紋をカメラ付き携帯電話で撮影した写真に基づいているだけだという。
潜在指紋は肉眼ではすぐには見えないが、「マグネシウムの粉末を硬くて光沢のある表面に軽く塗りつけて光らせると、目に見えるようになる」とExplore Forensicsのウェブサイトには記されている。
SRLabsによると、サムスンの実装の脆弱性は、PayPalとの統合によってさらに深刻化している。PayPalは、ユーザーが指紋スキャナーを使って取引や送金を認証できるようにする。この統合は、攻撃者にスマートフォンをハッキングする動機をさらに強めるとSRLabsは述べている。
サムスンのGalaxy S5。
PayPalは、サービスへのアクセスに指紋は利用されていないとして、リスクを軽視しています。「PayPalは、Galaxy S5の認証において、お客様の指紋を実際に保存したり、アクセスしたりすることはありません。スキャンにより、携帯電話のパスワードの代わりになる安全な暗号鍵が解除されます。紛失・盗難にあったデバイスからこの鍵を無効化するだけで、新しい鍵を作成できます。」
AppleがiPhone 5Sにホームボタンに指紋センサーを内蔵したTouch IDを搭載して以来、指紋認証はスマートフォンの人気機能となっている。
Touch IDは昨年、ドイツのChaos Computer Clubによってラテックス製の指紋コピーを使ってハッキングされました。サムスンの指紋スキャナーのハッキングは、この技術の有効性に再び疑問を投げかけています。
SRLabsによると、指紋認証にはパスワードと比べて2つの欠点がある。1つ目は、指紋が盗まれると変更できないことだ。これを補うために、デジタル化された指紋は盗まれにくくする必要がある。2つ目は、ユーザーは指紋のコピーをあらゆる場所に残し、保護対象のデバイスにも残してしまうと、SRLabsはウェブサイトで述べている。
「生体認証は常に利便性とセキュリティのトレードオフを伴うが、ユーザーの重要なデータや決済アカウントを危険にさらさない方法で生体認証を実装するのはメーカーの責任だ」とSRLabsは述べた。
ハッキングは深刻だが、Galaxy S5 の販売に影響を与える可能性は低い。
「消費者の大多数は、現時点ではスマートフォンのセキュリティ問題についてあまり認識していません。新しいスマートフォンを購入しようとするとき、最初に頭に浮かぶ疑問ではないのです」と、ABIリサーチのプラクティス・ディレクター、マリク・サーディ氏は述べています。
サムスンはコメント要請にすぐには応じなかった。
