Chaos Computer Club、Galaxy S8の虹彩認証を突破 35
ストーリー by headless
突破 部門より
突破 部門より
Samsungの新フラッグシップスマートフォン、Galaxy S8には虹彩認証機能が搭載されているのだが、Chaos Computer Club(CCC)のstarbug氏が写真を使って突破することに成功したそうだ(CCCのニュース記事、
デモ動画ページ)。
虹彩認証を突破する手法としては、虹彩の写った目の写真をレーザープリンターで実寸印刷し、眼球のカーブを真似るために普通のコンタクトレンズを載せるというものだ。コンタクトレンズにより、虹彩認証システムに本物の目と認識させることができたとのこと。レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ。
必要な写真はデジタルカメラの夜間撮影モードを有効にするか、赤外線フィルターを除去すれば簡単に撮影できるという。デモでは200mmのレンズを搭載したデジタルカメラを用い、5mほどの距離から撮影した写真を使用している。
高解像度の顔写真がインターネットで公開されていれば使用できることもあるが、瞳の色が濃い場合は虹彩の詳細な画像が得られないこともある。デジタルカメラで赤外線領域をキャプチャーできるようにすることで、こういった瞳でも虹彩認証突破に使用可能な写真が撮影できるとのこと。
starbug氏はiPhone 5sの発売直後にTouch IDの指紋認証を突破している。指紋の写真と比べて虹彩の写真は入手しやすいため、認証が突破されるリスクは高い。今回の手法は指紋認証突破よりも簡単だ。スマートフォンに保存されているデータや支払い機能を保護したいなら、指紋認証や虹彩認証といった生体認証ではなく、PINコードを使用するようCCCのDirk Engling氏は推奨している。
これについてSamsungでは、デモ動画では簡単に見えるが、現実的なシナリオではないと述べているとのことだ(The Korea Heraldの記事)
虹彩認証を突破する手法としては、虹彩の写った目の写真をレーザープリンターで実寸印刷し、眼球のカーブを真似るために普通のコンタクトレンズを載せるというものだ。コンタクトレンズにより、虹彩認証システムに本物の目と認識させることができたとのこと。レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ。
必要な写真はデジタルカメラの夜間撮影モードを有効にするか、赤外線フィルターを除去すれば簡単に撮影できるという。デモでは200mmのレンズを搭載したデジタルカメラを用い、5mほどの距離から撮影した写真を使用している。
高解像度の顔写真がインターネットで公開されていれば使用できることもあるが、瞳の色が濃い場合は虹彩の詳細な画像が得られないこともある。デジタルカメラで赤外線領域をキャプチャーできるようにすることで、こういった瞳でも虹彩認証突破に使用可能な写真が撮影できるとのこと。
starbug氏はiPhone 5sの発売直後にTouch IDの指紋認証を突破している。指紋の写真と比べて虹彩の写真は入手しやすいため、認証が突破されるリスクは高い。今回の手法は指紋認証突破よりも簡単だ。スマートフォンに保存されているデータや支払い機能を保護したいなら、指紋認証や虹彩認証といった生体認証ではなく、PINコードを使用するようCCCのDirk Engling氏は推奨している。
これについてSamsungでは、デモ動画では簡単に見えるが、現実的なシナリオではないと述べているとのことだ(The Korea Heraldの記事)
精度あがってるのかしら (スコア:5, 興味深い)
数年前にさるDC見学にいったら認識失敗多くて手動で開けるのがしょっちゅうと聞いた
実際当日も中の1人がなんどやってもうまくいかなかった
あと本題とはズレるけど、見学後自分の情報消してもらおうと思ったら
「そういうこと言われたの初めてです。すぐに消すことはできません。今後もあるでしょうから残したままにしては?」
と言われた。親切なのかもしれないけどちょっと不信感
あとで消しときますと言われたのでそれを信じてる
他の理由もあったけどそのDCの採用はやめた
Re: (スコア:0)
精度上がってるのは認証の仕組みというよりもカメラの方だね
で、虹彩認証がこの手の手法で簡単に突破できるというのは技術が生まれたという当初から言われてた
現実には虹彩の情報がはっきり分かる程近くで目を撮影しなきゃならんってことで
現実的じゃないってのも事実
Re: 盗撮は無理でも元データの流出こわい (スコア:2)
盗撮は無理でも、本人の意志で撮影したデータが不意に流出してしまったら、安全ではなくなってしまいますよね
指紋とか毛細血管も同じか
撮影したその場で特徴量抽出の後、公開鍵暗号の秘密鍵で暗号化して撮影データはすぐ破棄ということをしている筈ですが、うっかりどこかに撮影データ残っていてそれが流出したらアウトということで
Re: (スコア:0)
しかもパスワードは変えれば済むけど生体認証の特徴情報は流出したからと言って変えることもできない。
って生体認証の登場どころか可能性が検討されていたころからずーっと言われてるんだけどなー。
Re: (スコア:0)
その認証レベルを求めたら最初からダメな技術なのは分かってた話だしな
あくまでも個人スマホのレベルだったら指紋と同じレベルだよね?って話だ
Re: (スコア:0)
パスワードは使い回すなって口を酸っぱくして言われるけど、生体認証は重要性に応じて使い分けることすらできない…ってのもさんざん言われてきたこと。個人スマホレベルだからといって流出の対策が甘くなるんだったら有害でしかない。
Re: (スコア:0)
基本的には公開だが真似がし辛いアカウントをパスワード無しで使っている様な物だからね。
元々「面倒がって何ら対処しないよりはマシ」って話でしかない。
だから適宜それとは別にPINなりパスワードなりを求められるんですよね。
逆に言えば、既存のPINやパスワードで保険をかける様なのが生態認証だという事。
まあ偶然落としたのを拾った人間程度にはそうそう出来る事でもないでしょうけど。
あ、指紋ならそのスマホ表面に付いて居る指紋から認証突破できるのかな?
それを考えれば表面に記録されない光彩の方がマシではあるのか。
一級フラグ建築士 (スコア:0)
> 現実的なシナリオではない
わざわざ自分からフラグを立てていくスタイル
Re:一級フラグ建築士 (スコア:2, おもしろおかしい)
自分が立てるのがフラグで、他人が(も)立てるのはセマフォというんだよ。
Re: (スコア:0)
何を見てもフラグとか無理ゲーとか言うデジタルネイティブ
Re: (スコア:0)
>レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ
わざわざ自社製プリンター売るためにこんなバックドアを作っておくとはね。
見せ方 (スコア:0)
starbug氏「このコンタクト、特注品なんだ。ここにうっすら文字があるの。見える?」
指紋と虹彩 (スコア:0)
少なくとも今回の報告レベルの精度が必要なのであれば、指紋のほうがはるかに簡単に盗めるし手間考えても悪用しやすい。
Re: (スコア:0)
無理
この画像見たら分かるけど、光学ズーム使ってる
デジタルズームのスマホじゃレンズ性能起因で情報が欠損してるから同じことを期待するのは無理
レンズの性能改善が進めば或いは・・・ってところか
Re: (スコア:0)
いやいや、虹彩認証してるのもスマホカメラでしょ
パターンロックが最善だよやっぱ
Re: (スコア:0)
虹彩認証のカメラは普通のカメラじゃないよ
Windows Helloだって、ただのwebカメラじゃ使えないし
Re: (スコア:0)
> 並レベルのスマホの写真で、5m ぐらいの距離なら十分に指紋認証が突破できるぐらいの精度のものが確保できちゃうって話だよね。
> いやいや、虹彩認証してるのもスマホカメラでしょ
スマホで虹彩認証するときは5mの位置から撮影するわけじゃないだろw
それにスマホについている虹彩撮影用のカメラは自撮り用のものとは違う。赤外線カメラだ。赤外線ライトもついていて、
認証時には顔を照らす。もちろん赤外線は見えないので、ユーザーはそんなこと気づかないが。
Re: (スコア:0)
うんにゃ。
リモコンの発光部のような特に強い赤外線は写るが、なにかに当たって散乱したような弱い赤外線は弱すぎて
可視光の強さに紛れて捉えられないよ。スマホのカメラでわざわざ赤外カットフィルターを入れているものが
少ないのは、そもそも赤外域の感度が低いため、さほど影響がないから。
赤外線が「普通に映る」ものなら、写真の見栄えは肉眼とずいぶん違ったものになってしまうだろう。
Re: (スコア:0)
だから指紋のほうが確保が難しいなんてことは無いはずってこと。
Re: (スコア:0)
理論的には2000万画素のデジカメで突破可能→最近のスマホは2000万画素以上→だから最近のスマホで突破可能
ということだとおもうけど、現実的には、一眼レフカメラでピントが指先にバッチリあった状態でないと無理だと思う。
http://www.nii.ac.jp/news/release/2017/0317.html [nii.ac.jp]
Re: (スコア:0)
指紋はカメラ使わなくてもその場にいなくても、ガラス面とかからでも採取できるんじゃね。
これからのスパイ物とかには、指紋を採られないようにいつも手袋をはめたまま,
虹彩を撮られないようにサングラスはかけたままってキャラが登場するように
なるのかもしれない。
Re: (スコア:0)
>指紋はカメラ使わなくてもその場にいなくても、ガラス面とかからでも採取できるんじゃね。
少なくとも認証に使う指はそのまま触れている可能性が高いからね。
センサーの周囲の指紋を取れば、突破できそうな気がする。
簡単にロック解除が出来る様に、指紋は部分でも認証通るしな、
「このスマホ、これからどこかに忘れる予定だから指紋を拭いておこう」て人も居ないだろうし。
Re: (スコア:0)
指紋の写真から指紋を再現するのは難しいけど、これは普通のプリンタで目の写真をプリントアウトしてその上にソフトコンタクトレンズを乗っけただけだから、再現するのは簡単。ナイトモード搭載のデジカメが必要だけど。
Re: (スコア:0)
スマホでとった写真の指紋部分を拡大、2値化してインクジェットプリンタで印刷するだけ。紙に印刷するだけですから、ソフトコンタクトとかも不要。
忘れてたかもしれませんがiPhoneの指紋認証はデータの獲得も、再現データの作成も非常に簡単なので話題になったのですよ。
Re: (スコア:0)
特殊なインクと特殊な紙が必要だろ。
個人情報 (スコア:0)
広告なんかで使われてる「手」のモデルさんや「目」のモデルさんも今後は気をつけないといけないのかな?
Re:個人情報 (スコア:1)
Photoshopによる加工は、セキュリティ的に考えると実は良い事なのかも?
Re: (スコア:0)
だからJKはカラコンを使うのか!
まばたきさせればええんちゃうか? (スコア:0)
生体であることを示すために、一回まばたきしないと認証が通らないようにするとか。
液晶やOLEDのディスプレイでは、赤外線域には画像を表示しないので、
ディスプレイに動画を映してごまかすという手法も使えない。
Re:まばたきさせればええんちゃうか? (スコア:1)
>生体であることを示すために、一回まばたきしないと認証が通らないようにするとか。
次は瞬きパターン認証でしょうか
Re: (スコア:0)
写真に撮って印刷してコンタクトレンズに貼って装着ってことだから、当然瞬きするのよ。
Re: (スコア:0)
ビデオをよく見ろよ。「コンタクトレンズに貼って」じゃなくて「コンタクトレンズを貼る」んだよ、紙の上に。
どうやって瞬きするの?w
Re: (スコア:0)
>生体であることを示すために、一回まばたきしないと認証が通らないようにするとか。
生体部分は偽装者の奴を使えるからなぁ。
Re: (スコア:0)
つ #3239502 [srad.jp]