BrutePrint
BrutePrintという攻撃手法が研究者によって発表されました。
スマートフォンで使用される指紋認証の回数制限を回避してしまう攻撃です。
どんなふうに攻撃が成り立つのでしょうか。
- 作戦
ユーザー定義の指紋が一致するまで、ターゲット デバイスへの指紋画像の送信を無制限に実行します。 - 用意するモノ
ターゲットデバイスへの物理的なアクセス、学術データセットや生体認証データの漏洩から取得できる指紋データベースへのアクセス、必要な機器(約15ドルの費用で作成できる小さな基盤状の機器) - Cancel-After-Match-Fail(CAMF)
攻撃実行の前提となる脆弱性です。
攻撃に脆弱性を利用する際、攻撃者は認証プロセスの途中でチェックサムエラーを挿入します。
チェックサムエラーを挿入することで試行の失敗を記録しないことになりますが、指紋が適合しているかを確認することはできてしまいます。
これにより無限に施行することが可能となります。 - Match-After-Lock(MAL)
こちらも攻撃実行の前提となる脆弱性です。
ロック解除試行が一定回数連続して失敗した後にアクティブになる保護システムがあります。
これはロックアウトモードと呼ばれます。
このロックアウトモードではデバイスはロック解除の試行を受け入れるべきではないのですが、MALの脆弱性がある機器の場合、ロックアウト状態でも認証の試行ができてしまいます。
研究者は実際にスマートフォンを数機種用意し、この攻撃が成り立つかを検証しています。
用意されたAndroidの機器の機種において、CAMFとMALの両方の脆弱性が存在するかCAMFの脆弱性のみが存在する状態とわかり、いずれにしても認証を無限に試みることが可能なことが確認されました。
用意されたiPhoneの機器の機種においては、CAMFの脆弱性のみが存在する状態とわかりましたが、認証は15回までしか試みることができないことが確認されました。
生体認証は強力な認証手法でパスワードよりも絶対的に安全であるというイメージがあります。
考えてみるとパスワードというものは本来秘密であるべき情報です。
しかし指紋はどうでしょう。
あなたが触れるものすべてにあなたの指紋が残ってしまいます。そんなものは秘密といえるのでしょうか。
しかもパスワードは容易に変更が可能ですが、自分の指紋は容易に変更することはできません。
変更ができないパスワードをいろいろなところで使いまわすことを想像してください。
生体情報による生体認証というのは魔法のように安全にしてくれるものではないということなのかもしれません。
生体認証は多要素認証の一部として利用される場合優れた機構といえますが、単独でパスワードの代わりに使うことの是非を問うお話に思えます。
参考記事(外部リンク):BRUTEPRINT: Expose Smartphone Fingerprint Authentication to
Brute-force Attack
arxiv.org/pdf/2305.10791.pdf
