スマートフォンの画面占有率を上げ、近未来的なUXが印象的なディスプレイ内指紋認証。中国メーカーの多くが取り入れ、国内で販売される機種も増えてきました。しかし肝心のセキュリティで問題を抱えているようです。
ディスプレイ内指紋認証はカメラの様に指紋を読み込む光学式と超音波で指紋を認識する超音波式に分けられます。多くの機種はタッチした際に触った部分が明るくなり、内蔵小型カメラを組み合わせて指紋の模様を認識する光学式を採用しているのですが、セロファンを使用してニセの指紋を登録すると、どの指を使ってもロック解除できてしまうのです。
その方法をXDA-developersが紹介しています。まずセロファン垂らした黒いインクに任意の指紋の跡をつけます。次に、スマホの設定画面に移動、新しい指紋の登録時にセロファンの指紋の跡の上から自分の指を押し付け、指紋を登録します。
すると、セロファンの指紋の跡をロック画面解除用の指紋として登録することができます。一度指紋の跡を登録できれば、セロファンさえあれば誰の指を使っても指紋認証を解除することが可能です。
なぜこのハックができてしまうのかというと、光学式は指紋の模様のみを記録しているため、セロファンとインクの上からタップするだけで正しい指紋と誤認してしまうから。反対に従来の様なホームボタンや、背面、側面に配置された指紋認証は突破することができません。
もちろん、紹介されているハック自体は指紋登録画面まで事前にたどり着くことが必要なので、セキュリティ上のリスクは高くありません。
ただ、「指紋の模様だけでロック解除ができてしまう」という性質を考えてみれば、スマホの保有者の指紋を何らかの方法で採取→セロファン上に成形→ロック解除、という手順であらゆるスマホのロックが解除できてしまうのは想像に難くありません。
実際、この方法を使えば光学式指紋認証よりも偽造が難しい静電容量方式の指紋認証も一部突破できることが別の調査から明らかになっています。
実際に悪用されることを警戒したXDA-developersは、あえて回りくどく危険度が低い手順を紹介したのでしょう。
ディスプレイ内指紋認証の超音波式は比較的安全ですが、読み取りに時間がかかるため採用数が少ないのが実情です。キャッシュレス化が進み、スマートフォンを使った決済が増えてくればこうしたハッキング方法が悪用される恐れもあります。
最新技術は魅力的ですが、信頼に足るものを使用したいですね。光学式のディスプレイ内指紋認証が改良されることを期待しています。
Source: XDA-developers
見るの遅かった…
もう画面内指紋認証付きのZ5 Pro GT855買っちゃったよ…