パスワードを忘れた? アカウント作成
13292618 story
ハードウェアハック

Chaos Computer Club、Galaxy S8の虹彩認証を突破 35

ストーリー by headless
突破 部門より
Samsungの新フラッグシップスマートフォン、Galaxy S8には虹彩認証機能が搭載されているのだが、Chaos Computer Club(CCC)のstarbug氏が写真を使って突破することに成功したそうだ(CCCのニュース記事デモ動画ページ)。

虹彩認証を突破する手法としては、虹彩の写った目の写真をレーザープリンターで実寸印刷し、眼球のカーブを真似るために普通のコンタクトレンズを載せるというものだ。コンタクトレンズにより、虹彩認証システムに本物の目と認識させることができたとのこと。レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ。

必要な写真はデジタルカメラの夜間撮影モードを有効にするか、赤外線フィルターを除去すれば簡単に撮影できるという。デモでは200mmのレンズを搭載したデジタルカメラを用い、5mほどの距離から撮影した写真を使用している。

高解像度の顔写真がインターネットで公開されていれば使用できることもあるが、瞳の色が濃い場合は虹彩の詳細な画像が得られないこともある。デジタルカメラで赤外線領域をキャプチャーできるようにすることで、こういった瞳でも虹彩認証突破に使用可能な写真が撮影できるとのこと。

starbug氏はiPhone 5sの発売直後にTouch IDの指紋認証を突破している。指紋の写真と比べて虹彩の写真は入手しやすいため、認証が突破されるリスクは高い。今回の手法は指紋認証突破よりも簡単だ。スマートフォンに保存されているデータや支払い機能を保護したいなら、指紋認証や虹彩認証といった生体認証ではなく、PINコードを使用するようCCCのDirk Engling氏は推奨している。

これについてSamsungでは、デモ動画では簡単に見えるが、現実的なシナリオではないと述べているとのことだ(The Korea Heraldの記事)


この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by esuta (40045) on 2017年05月27日 11時48分 (#3217851)

    数年前にさるDC見学にいったら認識失敗多くて手動で開けるのがしょっちゅうと聞いた
    実際当日も中の1人がなんどやってもうまくいかなかった

    あと本題とはズレるけど、見学後自分の情報消してもらおうと思ったら
    「そういうこと言われたの初めてです。すぐに消すことはできません。今後もあるでしょうから残したままにしては?」
    と言われた。親切なのかもしれないけどちょっと不信感
    あとで消しときますと言われたのでそれを信じてる
    他の理由もあったけどそのDCの採用はやめた

    • by Anonymous Coward

      精度上がってるのは認証の仕組みというよりもカメラの方だね
      で、虹彩認証がこの手の手法で簡単に突破できるというのは技術が生まれたという当初から言われてた
      現実には虹彩の情報がはっきり分かる程近くで目を撮影しなきゃならんってことで
      現実的じゃないってのも事実

      • 盗撮は無理でも、本人の意志で撮影したデータが不意に流出してしまったら、安全ではなくなってしまいますよね
        指紋とか毛細血管も同じか

        撮影したその場で特徴量抽出の後、公開鍵暗号の秘密鍵で暗号化して撮影データはすぐ破棄ということをしている筈ですが、うっかりどこかに撮影データ残っていてそれが流出したらアウトということで

        親コメント
        • by Anonymous Coward

          しかもパスワードは変えれば済むけど生体認証の特徴情報は流出したからと言って変えることもできない。
          って生体認証の登場どころか可能性が検討されていたころからずーっと言われてるんだけどなー。

          • by Anonymous Coward

            その認証レベルを求めたら最初からダメな技術なのは分かってた話だしな
            あくまでも個人スマホのレベルだったら指紋と同じレベルだよね?って話だ

            • by Anonymous Coward

              パスワードは使い回すなって口を酸っぱくして言われるけど、生体認証は重要性に応じて使い分けることすらできない…ってのもさんざん言われてきたこと。個人スマホレベルだからといって流出の対策が甘くなるんだったら有害でしかない。

              • by Anonymous Coward

                基本的には公開だが真似がし辛いアカウントをパスワード無しで使っている様な物だからね。
                元々「面倒がって何ら対処しないよりはマシ」って話でしかない。
                だから適宜それとは別にPINなりパスワードなりを求められるんですよね。
                逆に言えば、既存のPINやパスワードで保険をかける様なのが生態認証だという事。

                まあ偶然落としたのを拾った人間程度にはそうそう出来る事でもないでしょうけど。
                あ、指紋ならそのスマホ表面に付いて居る指紋から認証突破できるのかな?
                それを考えれば表面に記録されない光彩の方がマシではあるのか。

  • by Anonymous Coward on 2017年05月27日 11時54分 (#3217854)

    > 現実的なシナリオではない

    わざわざ自分からフラグを立てていくスタイル

    • Re:一級フラグ建築士 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2017年05月27日 19時16分 (#3218066)

      自分が立てるのがフラグで、他人が(も)立てるのはセマフォというんだよ。

      親コメント
    • by Anonymous Coward

      何を見てもフラグとか無理ゲーとか言うデジタルネイティブ

    • by Anonymous Coward

      >レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ

      わざわざ自社製プリンター売るためにこんなバックドアを作っておくとはね。

  • by Anonymous Coward on 2017年05月27日 12時09分 (#3217858)

    starbug氏「このコンタクト、特注品なんだ。ここにうっすら文字があるの。見える?」

  • by Anonymous Coward on 2017年05月27日 12時35分 (#3217871)
    並レベルのスマホの写真で、5m ぐらいの距離なら十分に指紋認証が突破できるぐらいの精度のものが確保できちゃうって話だよね。ピースとかさせれば完璧。

    少なくとも今回の報告レベルの精度が必要なのであれば、指紋のほうがはるかに簡単に盗めるし手間考えても悪用しやすい。
    • by Anonymous Coward

      無理
      この画像見たら分かるけど、光学ズーム使ってる
      デジタルズームのスマホじゃレンズ性能起因で情報が欠損してるから同じことを期待するのは無理
      レンズの性能改善が進めば或いは・・・ってところか

      • by Anonymous Coward

        いやいや、虹彩認証してるのもスマホカメラでしょ

        パターンロックが最善だよやっぱ

        • by Anonymous Coward

          虹彩認証のカメラは普通のカメラじゃないよ
          Windows Helloだって、ただのwebカメラじゃ使えないし

        • by Anonymous Coward

          > 並レベルのスマホの写真で、5m ぐらいの距離なら十分に指紋認証が突破できるぐらいの精度のものが確保できちゃうって話だよね。

          > いやいや、虹彩認証してるのもスマホカメラでしょ

          スマホで虹彩認証するときは5mの位置から撮影するわけじゃないだろw

          それにスマホについている虹彩撮影用のカメラは自撮り用のものとは違う。赤外線カメラだ。赤外線ライトもついていて、
          認証時には顔を照らす。もちろん赤外線は見えないので、ユーザーはそんなこと気づかないが。

      • by Anonymous Coward
        指紋のほうは、スマホのカメラでズームもなしに取った画像で認証できてるんだよ。

        だから指紋のほうが確保が難しいなんてことは無いはずってこと。
        • by Anonymous Coward

          理論的には2000万画素のデジカメで突破可能→最近のスマホは2000万画素以上→だから最近のスマホで突破可能
          ということだとおもうけど、現実的には、一眼レフカメラでピントが指先にバッチリあった状態でないと無理だと思う。
          http://www.nii.ac.jp/news/release/2017/0317.html [nii.ac.jp]

    • by Anonymous Coward

      指紋はカメラ使わなくてもその場にいなくても、ガラス面とかからでも採取できるんじゃね。

      これからのスパイ物とかには、指紋を採られないようにいつも手袋をはめたまま,
      虹彩を撮られないようにサングラスはかけたままってキャラが登場するように
      なるのかもしれない。

      • by Anonymous Coward

        >指紋はカメラ使わなくてもその場にいなくても、ガラス面とかからでも採取できるんじゃね。
        少なくとも認証に使う指はそのまま触れている可能性が高いからね。
        センサーの周囲の指紋を取れば、突破できそうな気がする。
        簡単にロック解除が出来る様に、指紋は部分でも認証通るしな、

        「このスマホ、これからどこかに忘れる予定だから指紋を拭いておこう」て人も居ないだろうし。

    • by Anonymous Coward

      指紋の写真から指紋を再現するのは難しいけど、これは普通のプリンタで目の写真をプリントアウトしてその上にソフトコンタクトレンズを乗っけただけだから、再現するのは簡単。ナイトモード搭載のデジカメが必要だけど。

      • by Anonymous Coward
        指紋センサーの作り次第ですか、iPhone向けの再現は簡単ですよ。
        スマホでとった写真の指紋部分を拡大、2値化してインクジェットプリンタで印刷するだけ。紙に印刷するだけですから、ソフトコンタクトとかも不要。

        忘れてたかもしれませんがiPhoneの指紋認証はデータの獲得も、再現データの作成も非常に簡単なので話題になったのですよ。
        • by Anonymous Coward

          特殊なインクと特殊な紙が必要だろ。

  • by Anonymous Coward on 2017年05月27日 12時58分 (#3217879)

    広告なんかで使われてる「手」のモデルさんや「目」のモデルさんも今後は気をつけないといけないのかな?

  • by Anonymous Coward on 2017年05月27日 18時31分 (#3218047)

    生体であることを示すために、一回まばたきしないと認証が通らないようにするとか。

    液晶やOLEDのディスプレイでは、赤外線域には画像を表示しないので、
    ディスプレイに動画を映してごまかすという手法も使えない。

    • >生体であることを示すために、一回まばたきしないと認証が通らないようにするとか。

      次は瞬きパターン認証でしょうか

      親コメント
    • by Anonymous Coward

      写真に撮って印刷してコンタクトレンズに貼って装着ってことだから、当然瞬きするのよ。

      • by Anonymous Coward

        ビデオをよく見ろよ。「コンタクトレンズに貼って」じゃなくて「コンタクトレンズ貼る」んだよ、紙の上に。
        どうやって瞬きするの?w

    • by Anonymous Coward

      >生体であることを示すために、一回まばたきしないと認証が通らないようにするとか。
      生体部分は偽装者の奴を使えるからなぁ。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...