電話の指紋ロックは3Dプリントされた指紋を使用して回避可能

Cisco Talosサイバーセキュリティグループの研究者たちは、3D印刷技術とテキスタイル接着剤を使用して作成した偽の指紋を使って、電話、ラップトップ、その他のデバイスの指紋認証システムを欺いて回避する方法を実証しました。

研究者であるポール・ラスカニエレスとビトール・ベントゥーラによると、印刷された偽の指紋は幅広いデバイスでテストされ、平均して約80％の成功率を達成しました。

指紋センサーには主に3つのタイプがあります：静電容量式、光学式、超音波式。これらのセンサーは、使用される材料や型取り方法によってわずかに異なる動作をします。

最も一般的なタイプは静電容量式で、体の自然な電流を使用して指紋を読み取ります。一方、光学式センサーは光を使用して指をスキャンし、画像を作成します。超音波センサーは最新のタイプで、画面上のセンサーによく使用され、超音波を物理的な物体（この場合は指）に反射させ、そのエコーを指紋センサーが読み取ります。このため、超音波センサーは最も簡単に回避できるセンサーです。

「私たちのテストでは、平均して偽の指紋を使用した際に約80％の成功率を達成し、センサーが少なくとも一度は回避されました。この成功率を達成することは困難で面倒な作業でした。スケーリングや材料の物理特性に関連するいくつかの障害や制限を見つけました」と、Talosのビトール・ベントゥーラとポール・ラスカニエレスは研究分析で説明しました。

「それでも、この成功率は、テストされたデバイスのいずれかをPINロックに戻る前に解除する非常に高い確率があることを意味します。結果は、指紋が電話を失った場合に平均的な人のプライバシーを保護するのに十分であることを示しています。しかし、資金力があり、動機づけられた攻撃者の標的となる可能性が高い人は、指紋認証を使用すべきではありません。」

研究者たちは、3Dプリンターを使用して型を作成し、UVチャンバーで硬化させました。彼らはその型を使用して偽の指紋を作成し、シリコンや布用接着剤を含む材料に鋳造しました。

「テスト中、使用される材料がセンサーの種類によって決定的な要因であることが明らかになりました。特に、音響センサーと静電容量センサーを比較する際に。成功率を上げるために、シリコンや異なる種類の接着剤を使用し、導電性（グラファイトとアルミニウム）粉末を混ぜました」と彼らは述べました。

研究者たちは、テストプロセスのために2,000ドルの予算と13台のスマートフォン、ラップトップ、その他のデバイスを持っていました。テストプロセスを開始するために、研究者たちは悪名高いギャングスター、アル・カポネの公に入手可能な指紋を例として使用しました。モバイルデバイスは、ほとんどの人がデバイスで指紋センサーを一般的に使用するため、最も良いターゲットであることが証明されました。

「これらのデバイスは、指紋認証に関する最初の研究のいくつかのターゲットでもあり、このプラットフォームに技術の成熟をもたらすべきです。しかし、結果は、モバイルフォンの指紋認証が2013年に最初に破られたときと比較して弱まっていることを示しています」と彼らは述べました。

偽の指紋は、研究者によってiPhone 8、Samsung S10、Huawei P30 Lite、MacBook Pro 2018、iPad 5世代、Samsung Note 9、Honor 7X、およびAICase Padlockで成功裏にテストされました。しかし、Samsung A70電話、Lexar Jumpdrive Fingerprint F35、またはVerbatim Fingerprint Secure USB暗号化ペンドライブにはアクセスできませんでした。

研究者たちは、指紋認証は、回避するプロセスが非常に複雑で、時間がかかり、日常の人が実行するには高価であることを考慮すると、人口の大多数にとって適切であると結論付けました。

「指紋認証の通常のユーザーにとって、その利点は明らかであり、使用すべきです。しかし、ユーザーがより高いプロファイルであるか、デバイスに機密情報が含まれている場合は、強力なパスワードとトークン二要素認証により多く依存することをお勧めします」と彼らは書いています。