パスワードを忘れた? アカウント作成
10018047 story
iPhone

Chaos Computer Club、iPhone 5sの指紋認証を突破 95

ストーリー by headless
突破 部門より
ヨーロッパ最大のハッカーグループで、ドイツ・ハンブルグに拠点を置くChaos Computer Club(CCC)は、同グループの生体認証ハッキングチームがiPhone 5sの指紋認証「TouchID」を突破することに成功したと発表した(CCCのニュース記事Parity Newsの記事本家/.)。

方法としては、CCCのStarbug氏が9年前に解説している手順そのままだ。ただし、Starbug氏によると、iPhone 5sの場合は解像度を高くする必要があるとのこと。まず、コップなどに付着したターゲットの指紋を2,400dpiで撮影。画像を反転したら、トナー濃度を高くしたレーザープリンターでOHPシートに1,200dpiで出力する。あとは木工用ボンドやラテックスを印刷部分に塗りつけ、乾いてから剥がして指紋を写し取れば完成だ。これをセンサーに押し当てることでロック解除が可能となる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 逆手にとりましょう (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2013年09月23日 16時47分 (#2464625)

    認証は偽造指紋で登録すれば・・・

    #セキュリティー保護のため指紋は数ヶ月に1回変更しましょう

    • by Anonymous Coward on 2013年09月23日 17時46分 (#2464654)

      「おもおか」ついてるけどさ、それなりに深刻に捉えるべき問題なのかも、って気がするんだよね。

      セキュリティ一般の問題として、破られやすいか、破られにくいかって観点は確かに重要だと思う。
      そして、生体認証は破られにくい面がある。
      少なくとも今回のように、ターゲットに対する「物理的なアクセス」が必要になると言う点は、ハッキング側のコストとして考慮がいるだろう。

      でも、万が一、生体認証が破られた場合(例えばどこからか指紋データが流出した場合)、自分の肉体の指紋や掌紋や虹彩を取り替えるわけにはいかない。
      一度破られてしまえば、二度とそのキー=その生体=その人物は、サービスを利用できなくなってしまうわけです。
      パスワードやドングルならば、それを破棄して別の組み合わせを使えば良い。
      でも、肉体を取り替えるというわけにはいかない…。
      そういう意味では、生体認証をあまり軽々しく使わないほうがいいという考え方もあると思うんですよ。

      だったら、最初から取り替え可能な「偽造指紋」で認証をするというのは、あながち間違いではないような気がするんですよね。

      親コメント
  • by NOBAX (21937) on 2013年09月23日 17時38分 (#2464650)
    多少、状況は違うけど
    自分の指に別人の指紋がついた特殊なテープ [47news.jp]を貼って
    指紋認証システムをすり抜ける手口は昔から有名ですよ。
    指紋テープを売るブローカーが存在するそうです。

    静脈認証派の生体でないと認証されないので指紋認証より優れているという
    主張はこの辺を指しているんでしょうね。
  • by Anonymous Coward on 2013年09月24日 11時10分 (#2464896)

    関連ストーリーにもありますが、
    >切断された指ではiPhone 5sの指紋認証は突破できない
    >皮膚の表皮下まで検知する仕組みだという。このため、指は生きている体とつながっていなければ反応しないとのこと

    これが丸ごと嘘だったわけでw。信者がどうやって擁護するかたのしみw

  • iPhoneのディスプレイの電源切った時,iPhone自体に指紋がベタベタついてたのが見えたけど,これを使えばiPhoneだけ盗んでも突破できそう
  • 関連?記事
    CNN.co.jp : 新型iPhoneの指紋認証破りに懸賞、総額160万円 [cnn.co.jp]

    セキュリティー研究者が総額1万6000ドル(約160万円)以上の懸賞をかけて、米アップルの新しいスマートフォン「iPhone(アイフォーン)5s」に搭載された指紋センサー「タッチID」のハッキングを呼びかけるサイトを開設した。

    このサイト「IsTouchIDHackedYet.com」を開設したのは、スマートフォンのセキュリティー破りで有名な研究者のニック・デペトリロ氏と、セキュリティー企業エランタ・セキュリティー経営者のロバート・デービッド・グレアム氏。

  • by sinbo (5231) on 2013年09月24日 11時02分 (#2464893)

    今までは4ケタの数字入力でショルダーハッキングが可能でしたね。
    加えて、画面を見ないで入力するのは不可能ではないにせよ困難。
    それに比べれば指紋照合での本人確認はマシな方法だと思います。
    悪口ではなく、その程度のものだと理解しています。

    --
    ---- sinbo
  • by Anonymous Coward on 2013年09月23日 16時36分 (#2464616)

    率直な感想で、こんなに簡単に破られるのなら、パスワードロックのほうがまだマシな気がした。

    高周波で皮膚の下をスキャンするから生体指にしか云々、言ってたのはアップルお得意のハッタリだったのかい。
    コップに付いた指紋で、簡単にやぶられるのかい。
    しかも9年前に公表されてる方法そのまんまでやぶられたのかい。
    グミ指すら要らなかったのかい。

    • by x-rebuttal (33869) on 2013年09月23日 16時46分 (#2464624)

      パスワード入力が面倒でロックをしない層がこれを使うようになれば、まさに無いよりはマシなんではなかろうか。
      売り文句の壮大さに比べると、お粗末ではあるけどねぇ。

      親コメント
    • by Anonymous Coward on 2013年09月23日 16時57分 (#2464627)

      動画見たら解ると思うけど、生体指に装着して突破してる。
      指紋は偽造サーフェイス側、生体認証をハッカー側。

      古いけどディスカバリーチャンネルのMythBustersでも同じ事やってたが、
      上手く機能するまでかなり試行を繰り返し難航していたのを覚えています。
      OHP法では解像度が足りず、PCで拡大するも突破出来ていませんでした。
      結局銅板エッチングし基板プリンターで均一な厚みとバランス良いサーフェイスを印刷し突破していました。
      (解像度とサーフェイスの厚みのバランスがポイントだとも言っていた)

      CCCの手順も簡略化されていますが、おそらく最適なバランスを作り出すためには
      それ相応の努力と時間を要するはずですし、さらに言えば近年のシステムでは均一でないサーフェイスも登録出来るようです。

      親コメント
    • そうかなぁ。
      仮に今回の発表が本当だったとしても、これってその人の指紋を手に入れられることが前提だよね。
      改善しないよりはしたほうがいいのだろうけど、これをもってパスワードに劣るという話にはならないと思う。

      落としたiPhoneから指紋を読み取れるというのなら話は変わってくるけれど、
      当人の触ったガラスコップを手に入れられるような環境だったら、やりようはもっといくらでもあるじゃないか。

      親コメント
    • by Anonymous Coward

      何よりも突破が早すぎてびっくりしたし盛大に笑った

    • by Anonymous Coward

      >高周波で皮膚の下をスキャンするから生体指にしか云々、言ってたのはアップルお得意のハッタリだったのかい。

      これどうなんだろうね。
      動画では、指紋を登録した本人が自分の指紋をコピーした薄いラテックスを指に貼りつけて認証してるからよくわからんけど、当然別の人でも出来る、って話なんだろうね?

      • by Anonymous Coward

        認識を厳しくすると解除出来なくてパニックになる人が多そうだからねぇ・・・。

        アンドロの顔認識は認識出来ない場合パターンロック等に移行するが、
        その方式になってるんだっけ?

      • by Anonymous Coward
        一応指が違う。
        赤外線云々は生きてるかの死んでるかの判定の為だったのかな。
        • by Anonymous Coward

          たぶんそういうことなんだろうね。

          「指切り落とされても、それを使って突破できない」は生体かどうか検査してるだけって意味とするなら確かに嘘になってない。
          でも生体だとすればいいだけなら、これのようにすればいいってことはまあだれか思いつくわけで、切り落とした指でも十分活用できる。

          高周波で皮膚の下を見るとしてパターン読み取れるの?という疑問を出してた人が前のトピックでいたけど、
          まさにそんなことして無い・できないらしいことが分かり、はったりだったってことで。

          なんかすごく残念な気分になりました。

          • by Anonymous Coward

            >生体かどうか検査してるだけって意味とするなら確かに嘘になってない。
            嘘ついてないというか、言葉通りなんだろ。
            そもそも高周波で皮膚の下を見るなんて一言も言ってないし。

            Appleに限らず、言葉のマジックで誤魔化すメーカー、企業は多いし、それに騙される消費者多すぎ。
            世間知らずな若年層はともかく、大人はもう少し考えようよ。
            生命保険や賃貸契約、利用規約、、みんな同じでっせ。

            それとも「Appleなら何とかしてくれるはず」なんて信者脳が発動しちゃったのかな?

      • by Anonymous Coward

        実はラテックスは何も機能していなくて、単純にサランラップのような薄いフィルムの上からなら本人の指があれば認証できますよって話だったりして

  • by Anonymous Coward on 2013年09月23日 16時38分 (#2464619)

    あとは強盗が間違いなく偽指紋を作成出来るようにわかりやすいドキュメントの整備をお願いしますね。
    全ての強盗がアレゲな人とは限らないわけですから・・・

    • by Anonymous Coward

      【新製品】iPhone5S用カバー【指紋入れポケット付き】¥5,480

      強盗に奪われた際に指を切られないよう、指紋を保存しておけます。
      だれでも簡単に指紋をバックアップできる入門キット付き。
      強奪されたら「ドントカットマイフィンガーズ!
      ザフィンガープリントイズインザポケット」と言いましょう。

  • 最初から代替の認証画面も表示して、間違った指で解錠しようとしたら一度パスワードで解錠するまで指紋認証を受け付けなくすると共に顔写真を京都府警に送信するようにすれば大分マシになるだろうに。

  • by Anonymous Coward on 2013年09月23日 18時59分 (#2464684)

    指紋は公開されたIDであって、パスワードの代わりにはならない。
    誰が作ったのか知らないが、指紋認証という言葉がそもそも変なのだ。

    • まあ、そうですよね。(IDとパスワード)

      すごく簡便かつ偽造するときに物理的である必要がある、という意味で日常ではまあいいんだけど。
      たとえば、海外時は利用しないとか、リモートロックかけたら、パスワード認証でアンロックしてもいいけど指紋はNGとかになるべきなのかもね。

      # 遺失時のリモートは普通にパスワードも利用不可にするかもしれませんが、それは実装によるか

      ATMでカードだけ、みたいなカンジかね。

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • by Anonymous Coward

      その認証と照合の定義の違いはオレオレ定義?
      そうじゃないなら出典を頼む。

  • by Anonymous Coward on 2013年09月23日 19時32分 (#2464699)

    最初からiPhone5sは指紋+キーコードの2要素認証を必須にしとけよ…

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...