Touch ID バイパスの詳細、「平均的な消費者」は心配する必要はない

先週末、Chaos Computer Club は、指紋の写真を使用して Apple の Touch ID センサーをバイパスし、偽の指紋モデルを作成したと 発表しました 。

完全な指紋エミュレーション プロセスは、CCC メンバーである Starbug の新しいビデオで 詳しく説明 されており、平均的な消費者は何も心配する必要はないと考えるセキュリティ専門家 Marc Rogers によって 再現されています 。

ビデオで見られるように、CCC は iPhone 5s の画面から採取した指紋を使用し、複雑な複数段階のプロセスを使用してそれを使用可能な指紋に変換します。 Ars Technica に語った Starbug 氏によると、このプロセスは「予想よりはるかに簡単」で、完了までにわずか 30 時間しかかかりませんでした。

1～2週間はハッキングできると思っていたので、とてもがっかりしました。まったく挑戦はありませんでした。攻撃は非常に単純かつ簡単なものでした。

それでも、Touch ID は非常に信頼性の高い指紋システムです。ただし、ユーザーはこれをセキュリティではなく利便性の向上のみとして考慮する必要があります。

スターバグ氏は、ハッキングは「非常に簡単」で「イメージスキャナー、レーザープリンター、PCBエッチングキットなどの安価なオフィス機器」で完了できると示唆しているが、同じく バイパスを完了した マーク・ロジャース氏はこれに同意せず、次のように述べている。それには「1000ドル以上の設備」が必要だ。

しかし、現実には、これらの欠陥は平均的な消費者が心配する必要のあるものではありません。なぜ？なぜなら、彼らを悪用することは決して簡単なことではなかったからです。

TouchID をハッキングするには、スキル、既存の学術研究、犯罪現場技術者の忍耐力の組み合わせに依存します。

ロジャース氏は続けてそのプロセスについて説明する。それには、汚れのない完全な正しい指のプリントと、シアノアクリレート（瞬間接着剤）の煙、指紋パウダー、指紋テープを使ってプリントを「浮き上がらせる」方法が必要である。採取された指紋は、撮影、編集され、透明フィルムに印刷され、PCB ボードまたはレーザー プリンタを介して使用可能な指紋に変換されます。

これらの手順をすべて作成したとしても、偽の指紋の使用は「難しく」、失敗する傾向がありました。

では、これらすべてから何を学べるのでしょうか?

実際には、攻撃はまだジョン・ル・カー√©の小説の領域に少し入っています。普通の街頭泥棒がそれをできるようなことではないことは確かであり、たとえそうなったとしても、彼らは幸運に恵まれなければなりません。ロックを解除するために PIN コードが必要なすべての指紋が TouchID によって拒否されるまで、5 回の試行しかないことを忘れないでください。

ただし、明確にしておきたいのは、TouchID が標的型攻撃に耐えられる可能性は低いということです。被害者を観察してデータを収集するための時間とリソースがある熱心な攻撃者は、おそらく TouchID をそれほど困難とは思わないでしょう。幸いなことに、これは私たちの多くが直面する脅威ではありません。

Touch ID は偽の指紋によって回避できるため、システムがどのように機能するかは依然として不明です。 Apple によると、このセンサーは高度な静電容量式タッチを使用し、皮膚の「表皮下層」から高解像度の画像を取得します。理論的には、このプロセスにより偽の指紋は役に立たなくなるはずです。 Starbug氏は、偽の指紋が人間の組織の特徴に「十分に近い」場合にはセンサーが無効になると指摘し、これはセキュリティよりも使いやすさを求めるAppleのせいだと推測している。

Touch ID はリリース以来、多くの注目を集めてきました。アル・フランケン上院議員はティム・クック氏に 書簡を送り、 システムのセキュリティと正確な指紋保存プロセスについて多くの質問をした。Appleは消費者の懸念を軽減するためにTouch IDシステムの利点に関する広範なナレッジベース記事 を公開した 。 。