あなたの指紋はあなたに固有のものです。
スマートフォンのセキュリティを強化するための指紋スキャナは理にかなっていますね。
残念なことに、セキュリティを追加することはより責任を負う可能性があるようです。研究者たちは、特定のAndroidデバイスに見つかった欠陥により、ハッカーがあなたの指紋認証を複製し、それをさらなるサイバー攻撃や潜在的な盗難に利用する可能性があると主張しています。
セキュリティ会社FireEyeのTao Wei氏とYulong Zhang氏は、Samsung Galaxy S5およびその他のAndroidデバイスの指紋認証のセキュリティに問題があることを確認しています。二人は最近RSA会議で彼らの調査結果を発表しました(PDF)。
$config[code] not found基本的に、問題はこれに分類されます。
- これらのスマートフォンに関する情報は、別々の安全なゾーンに分割され暗号化されています。
- 問題は、攻撃者が指紋情報を保護されたゾーンに到達する前に、またはWeiとZhangが信頼するゾーンとしてそれを取得することができることです。
- そこから、指紋データをコピーして保存することができます。
つまり、攻撃者はTrustZoneに侵入して侵入する必要はありません。代わりに、情報はメモリまたはストレージから盗まれます。攻撃者はユーザーレベルのアクセスを管理するだけでよく、あなたの指紋は彼らのものです。マルウェアがシステムレベルのアクセスしか必要としないGalaxy S5では、問題はさらに深刻になります。
張はフォーブスに語った。
「攻撃者が信頼できるゾーンに保存されている指紋データにアクセスできないにもかかわらず、カーネル(Androidオペレーティングシステムの中核)を破ることができれば、彼はいつでも直接指紋センサーを読み取ることができます。あなたが指紋センサーに触れるたびに、攻撃者はあなたの指紋を盗むことができます…あなたはデータを取得することができ、あなたはあなたの指紋の画像を生成することができます。その後は、何でもやりたいことができます。」
この問題は、Android 5.0 Lollipopより古いオペレーティングシステムを実行しているデバイスにのみ存在するようです。 WeiとZhangは、古いバージョンを使用している人はだれでも可能であればデバイスをアップデートするべきであると提案しています。
サムスンの広報担当者は、電子メールでフォーブスに語った。
「Samsungは消費者のプライバシーとデータセキュリティを非常に真剣に考えています。私たちは現在FireEyeの主張を調査しています。」
WeiとZhangは、他のどのデバイスもテストしていないと述べたが、問題は広範囲に及ぶかもしれないと推測している。彼らはあなたの情報を保護するために用心をすることを勧めます。あなたのデバイスを最新の状態に保ち、人気があり信頼できるソースからのアプリのみをインストールし、そしてタイムリーなパッチとアップグレードでモバイルデバイスベンダーに固執する。彼らはまた、エンタープライズユーザが高度な標的型攻撃からの保護を得るために専門的なサービスを求めたいと思うかもしれないと示唆しています。
シャッターストックによる指紋写真
コメント▼
