Bleeping Computerはこのほど、「Android phones are vulnerable to fingerprint brute-force attacks」において、Androidのスマートフォンが指紋認証のブルートフォース攻撃に弱い可能性があると報じた。Androidスマートフォンの指紋機能に対しブルートフォース攻撃を実行してユーザー認証の回避に成功したという中国のセキュリティ研究チームの発表が伝えられている。
スマートフォンの指紋認証を回避する「BrutePrint」と呼ばれる新たな攻撃手法が開発された。この手法にはCAMF(Cancel-After-Match-Fail)およびMAL(Match-After-Lock)という2つのゼロデイ脆弱性が使われており、Androidの安全策をすり抜けることができたと報告されている。
また、指紋センサーのSPI(Serial Peripheral Interface)上の生体データの保護が不十分であることが発覚しており、指紋画像を乗っ取る中間者攻撃(MITM: Man-in-the-middle attack)ができたことも報告されている。
発表された論文では、10台のAndroidおよびiOSデバイスで実験が行われている。Androidに関しては無制限に指紋認証を試すことができ、時間さえあればブルートフォース攻撃によって端末を解除することが可能だったという。一方、iOSはブルートフォース攻撃に対してより強力なセキュリティが確保されており、効果的に防御することができたと説明されている。
実験の結果、ブルートフォース攻撃で脆弱なデバイスの指紋を解読するには1つの指紋の登録に対して2.9〜13.9時間の時間がかかることがわかった。複数の指紋が登録されている場合は一致する画像を生成できる可能性が高くなり、ブルートフォース攻撃の時間は0.66〜2.78時間に短縮できるとのことだ。
BrutePrintは長時間デバイスにアクセスする必要があるため、この攻撃を成功させるのは容易ではないと考えられている。しかしながら、時間さえあればロックを解除することができるため、サイバー犯罪者がこの技術を用いてセキュリティを回避する可能性はあると指摘されている。同様に、法執行機関がこの攻撃手法を利用する可能性もあるとし、特に抑圧的な政府の存在する国々ではそのリスクが高まると推測されている。