中国人、最新Androidスマホの指紋認証を突破、LINEからマイナカードまで全情報ぶっこ抜ける模様 [422186189]
■ このスレッドは過去ログ倉庫に格納されています
中国のTencentと浙江大学に所属する研究者らが発表した論文「BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack」は、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告である。
この攻撃は、物理的にスマートフォンのスキャン箇所に専用機器を設置し、大量の指紋サンプルを連続で試して解除する、ブルートフォースアタック(総当たり攻撃)を実行する。そのために、連続で指紋認証に失敗した際にロックがかかる機能をあらかじめ解除する、脆弱性をついた攻撃を行う。
まず研究者らは、総額約15ドルの部品で構築できる基板状の専用機器を開発する。次に、大量の指紋サンプルを必要とするため、学術データセットや生体認証データの漏えいから取得する。
任意の指紋サンプルデータをそのまま使うのではなく、攻撃を容易にするためにスマートフォン向けに特化した指紋画像に学習モデルで変換する。
変換した大量の指紋サンプルを使って解除できるまで連続攻撃を行うのだが、スマートフォンには指紋認証で数回失敗すると指紋認証が実行できなくなるロックアウトモード機能が備わっている。
この機能を突破するため研究者らは、CAMF(CancelAfter-Match-Fail)とMAL(Match-After-Lock)のどちらかの脆弱性を悪用することで試行回数制限の解除を行い、無制限の攻撃を可能にしている。
広く使われているスマートフォン10機種を対象に、BrutePrint攻撃の有効性を評価する実験を行った。その結果、これらの攻撃は、「Xiaomi Mi 11 Ultra」や「Samsung Galaxy S10+」などの全てのAndroid、HarmonyOS搭載端末で無制限の試行を可能にすることに成功した。
「Apple iPhone 7」などのiOS端末では15回の試行までしかできないことが分かった。
(抜粋)
セキュリティアップデート待ち
今すぐセキュリティアップデートを 当面、指紋認証は無効化してパスワード認証にしておいた方が良さそうだな 生体認証ってパスワードと違って変えられないから漏洩したら致命的な事にならんか? そもそも指紋って何で全員違うんだよ
本当に神が居て、こういう風になるって予測して人間を設計したみたいな感じやんか
こえーよ この手のサポート終わったスマホどうすんだよ?
ガバガバのまま放置か?
サポート終了時にbluとrootを解放してカスロム入れれるように義務化しないとヤバイんじゃない?
【速報】FCNTが経営破綻、負債総額1,775億円、日本製スマホ、ARROWS伝説はついに終焉
https://hayabusa9.5ch.net/test/read.cgi/news/1685607964/ arrows使ってる老人めっちゃいるぞ。
セキュリティアップデートどうすんだ? >>17
スマホ二台持ちを義務化してもう片方でロック解除するのか?w 日本はデジタルを推進したいなら自民を下ろすしかないんだよ
じゃないとデジタルをお題目に無駄な金だけがかかって
アナログよりもコスパが悪くなる
電子マネーの参加店舗が手数料を取られるせいで儲けが減るのと同じ
デジタルを無駄にカマすせいで金が余計にかかる まぁ机上の空論だよね
ワイは犯罪者じゃないからどこかで指紋取られたことないし 警察に逮捕されてスマホ押収されたら警察はロックどうやってんの? >>13
賞味期限切れたものにメーカー保証なんかあるわけないだろ?
メーカーからもアナウンスある時点で使うのは自己責任だわ LINE紐づいてるマイナンバーのデータと合わせたら最強ですな >>23
銀行やペイアプリの個人認証に本体の指紋データを使ってたらアウトなんじゃ >>12
ちんこもまんこも似ているが人それぞれなんだぜ >>22
代わりにどこを政権にすえるのか
その根拠まで書いてくれないと
説得力がなぁ >学術データセットや生体認証データの漏えい
学術データセット→入国時や諸々に合法で採取したもの
生体認証データの漏洩→中華スマホでこっそり集めたもの
ってこと? >>43
取り敢えず自民のままだと誰かの懐に入れることしか考えないからなあ >>44
しかも使えないものを無理矢理普及させるために
合理的な紙をわざわざ廃止して挙げ句の果てには
税金を財源にポイントを万単位ずつバラまくっていうw
自民の掲げるデジタルは悪いやつのためでしかないんだよ まずスマホを相手に盗まれない限りこの手法は使えなくね? 普段持ち歩くスマホに財布以上のリスクを詰め込むのが間違いなんだよ
ペイ系に銀行口座紐付け→やらない
銀行アプリ→持ち歩くスマホには入れず、お古に入れて自宅から持ち出さない
仮にスマホ盗まれて指紋突破されても、持ち歩きのスマホはSuicaとPayPayとポイントカードくらいしか金目のもんはねーよw >>51
俺の電話番号や氏名を保存しておくなよ
スマホ使うマヌケそうなやつには教えたくないんだよな 生体認証割りとザルだからな
暗証番号も無いときつい >>27
本人に「すみません、ロックを解除してもらえませんか」ってカツ丼奢りながら頼んでいる いっそ指じゃなく別の部位で登録しておけばいいんじゃね? >>50
個人情報をサーバへ送信するバックドア仕掛けるのは支那畜の常識 そもそも物理的にスマホ盗んだ状態だろ?
指紋認証を大量のサンプルで突破ならパスワードでも破れる >>45
マイナンバーカードのことなら
保険証使い回しを防ぐのが主目的だぞ
外人とか生活保護とか >>72
いやいや
指紋認証突破できたら携帯に入ってるネット口座イジれたりするかもしれんだろ
それぞれさらに突破が必要だが >>72
あちこちから集めたデータをAIでふるいにかけて統合すれば成りすましも可能 >>9
乞食と窃盗するときだけ異常な能力発揮するよな
実際は行動力の問題だが >>73
それは主目的じゃないぞw
一元管理が目的だw >>83
メインはiphoneに移すか
泥は家専用端末にまわしてもいいし
怖くてペイ系のアプリ入れられんわ ■ このスレッドは過去ログ倉庫に格納されています