スマホの指紋センサーから“指紋”を復元する攻撃 3Dプリンタで偽物を作成、被害者になりすまし:Innovative Tech
香港城市大学と米ジョージ・メイソン大学に所属する研究者らは、スマートフォンのディスプレイ内指紋センサーから指紋データを復元するサイドチャネル攻撃を提案した研究報告を発表した。
Innovative Tech:
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
Twitter: @shiropen2
香港城市大学と米ジョージ・メイソン大学に所属する研究者らが発表した論文「Recovering Fingerprints from In-Display Fingerprint Sensors via Electromagnetic Side Channel」は、スマートフォンのディスプレイ内指紋センサーから指紋データを復元するサイドチャネル攻撃を提案した研究報告である。この攻撃では、盗んだ指紋データをもとに3Dプリンタで造形した3D指紋ピースを指に貼り付け、被害者の生体認証を模倣する。
スマートフォンのディスプレイ内指紋センサー技術が普及しており「Samsung Galaxy S22」「OnePlus 10 Pro」「Huawei P30 Pro」などの最新のAndroidスマートフォンに多くの大手メーカーが採用している。指紋認証は生体認証として広く使われているため、指紋データの漏えいは機密情報や個人データの流出につながる。
この研究では、スマートフォンのディスプレイ内指紋センサーから指紋データを復元するサイドチャネル攻撃「FPLogger」を提案。この攻撃は、ユーザーがディスプレイ内指紋センサーを押す際に放出される電磁波を専用装置で検出して指紋情報を抽出する。
検出された電磁信号から指紋のパターンを反映する特徴マップを抽出し、次にこれらを事前にトレーニングされた畳み込み変分オートエンコーダー(VAE)モデルに入力して2D指紋画像を生成する。
さらに、デノイジング拡散モデルを使用して、これらの2D指紋画像からノイズを除去し、指紋の認識可能性を向上させる。最終的に、これらの2D指紋画像は3Dプリンタによって3D指紋ピースに変換され、攻撃者の指に貼り付けて被害者の指紋を装って認証に使用される。
この攻撃の特徴は、被害者の指紋の事前知識がなくても電磁波から見えない指紋を回復できる点である。さらに、以前の手法と異なり、この攻撃は被害者のスマートフォンやディスプレイ内指紋センサーのハードウェアやソフトウェアを侵害する必要がなく、また電磁波を測定するための高価でかさばる装置も不要である。
FPLoggerの有効性は、光学式および超音波式のディスプレイ内指紋センサーを搭載した5種類のスマートフォン(OnePlus 10 Pro、OPPO A96、Xiaomi Redmi K20 Pro、Huawei P30 Pro、Samsung Galaxy S10)で評価した。
この評価では、電磁波の検知用に改造されたワイヤレス充電パワーバンクが使用されている。評価の結果、FPLoggerはオリジナルの指紋と50.3%から75.0%の範囲で高い類似度の指紋画像を回復する能力を持っていることが明らかになった。
Source and Image Credits: Tao Ni, Xiaokuan Zhang, and Qingchuan Zhao. 2023. Recovering Fingerprints from In-Display Fingerprint Sensors via Electromagnetic Side Channel. In Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security(CCS ’23). Association for Computing Machinery, New York, NY, USA, 253-267. https://doi.org/10.1145/3576915.3623153
関連記事
- 指先の熱からパスワードを盗む攻撃 入力後のキーボードから押した場所を特定 6文字なら検出精度100%
スコットランドのUniversity of GlasgowとサウジアラビアのTaif Universityによる研究チームは、キーボードから人の指先の熱を検出し、熱画像を解析してユーザーの入力を推定、パスワードなどを取得する深層学習システムを提案した研究報告を発表した。 - スマホの指紋認証を解除する攻撃 専用機器と大量の指紋サンプルで連続アタック 中国チームが発表
中国のTencentと浙江大学に所属する研究者らは、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告を発表した。 - “指紋画像”を盗み、スマートフォンや銀行口座を解除する攻撃 オーストラリアの研究者が発表
オーストラリアの研究者は、指紋読取装置からユーザーの指紋画像を取得する攻撃を提案した研究報告を発表した。取得した指紋画像を用い、スマートフォンや銀行口座、ドアのスマートロックなど他のシステムにアクセスするという悪用が行える。 - カメラに「存在しないもの」を見せるサイバー攻撃 離れた場所から電波を送信 成功率は99%
英オックスフォード大学の研究チームは、電波を使い、画像認識システムをだまして存在しないものを見せる手法を提案した研究報告を発表した。例えば真っ黒であるカメラフレームに文字を浮かび上がらせることなどができる。 - メガネの反射からWeb会議中の画面を盗み見る攻撃 閲覧中のサイトを特定する精度は94%以上
米University of Michiganと中国のZhejiang Universityによる研究チームは、Web会議に参加するメガネをかけたユーザーのレンズの反射によって、画面上の機密情報を不注意に伝えてしまうことを明らかにした研究報告を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.