中国人、あらゆるAndroidスマホからLINEやマイナンバーカード情報までぶっこ抜く機械を発明😨 [422186189]

?PLT(12015) · 2023/06/01(木) 23:19:27.58

スマホの指紋認証を解除する攻撃　専用機器と大量の指紋サンプルで連続アタック　中国チームが発表
https://www.itmedia.co.jp/news/articles/2305/31/news082.html

?PLT(12015) · 2023/06/01(木) 23:19:48.84

中国のTencentと浙江大学に所属する研究者らが発表した論文「BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack」は、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告である。

この攻撃は、物理的にスマートフォンのスキャン箇所に専用機器を設置し、大量の指紋サンプルを連続で試して解除する、ブルートフォースアタック（総当たり攻撃）を実行する。そのために、連続で指紋認証に失敗した際にロックがかかる機能をあらかじめ解除する、脆弱性をついた攻撃を行う。

まず研究者らは、総額約15ドルの部品で構築できる基板状の専用機器を開発する。次に、大量の指紋サンプルを必要とするため、学術データセットや生体認証データの漏えいから取得する。

任意の指紋サンプルデータをそのまま使うのではなく、攻撃を容易にするためにスマートフォン向けに特化した指紋画像に学習モデルで変換する。

変換した大量の指紋サンプルを使って解除できるまで連続攻撃を行うのだが、スマートフォンには指紋認証で数回失敗すると指紋認証が実行できなくなるロックアウトモード機能が備わっている。

この機能を突破するため研究者らは、CAMF（CancelAfter-Match-Fail）とMAL（Match-After-Lock）のどちらかの脆弱性を悪用することで試行回数制限の解除を行い、無制限の攻撃を可能にしている。

広く使われているスマートフォン10機種を対象に、BrutePrint攻撃の有効性を評価する実験を行った。その結果、これらの攻撃は、「Xiaomi Mi 11 Ultra」や「Samsung Galaxy S10＋」などの全てのAndroid、HarmonyOS搭載端末で無制限の試行を可能にすることに成功した。「Apple iPhone 7」などのiOS端末では15回の試行までしかできないことが分かった。

（抜粋）

?PLT(12015) · 2023/06/01(木) 23:20:08.04

15ドル

?PLT(12015) · 2023/06/01(木) 23:20:19.54

わずか15ドルの機械

?PLT(12015) · 2023/06/01(木) 23:20:29.20

これヤバイだろ

?PLT(12015) · 2023/06/01(木) 23:20:41.63

セキュリティアップデート待ち

2023/06/01(木) 23:20:46.59

余計なものが見つかった

2023/06/01(木) 23:20:47.36

ロック解除の脆弱性・・・？バックドアくさいな

2023/06/01(木) 23:21:18.92

情弱御用達のAndroidスマホか
iPhoneで良かった

2023/06/01(木) 23:21:35.89

ロックダウン効かないってどんな脆弱性だよ…

?PLT(12015) · 2023/06/01(木) 23:21:49.38

>>8
一般人には知られていないバックドアがいっぱいありそうだよね

2023/06/01(木) 23:21:52.59

大学で開発とか民度低すぎわろた

2023/06/01(木) 23:21:57.58

指紋認証ってまだ使ってんの？

2023/06/01(木) 23:22:43.61

生体認証ってパスワードと違って変えられないから漏洩したら致命的な事にならんか？

2023/06/01(木) 23:23:35.54

シナチョン製使わなきゃ大丈夫だろ

2023/06/01(木) 23:23:55.47

iphoneでも15回チャレンジできるのか、ヤベェな

2023/06/01(木) 23:24:26.55

このように研究報告してくれたおかげで次からは対策された製品をメーカーは作れるようになるわけよ

2023/06/01(木) 23:27:14.35

>>2
これハッキングの手順その物だけど、こういうのでワクワクした経験ってあるよね

2023/06/01(木) 23:27:29.09

>>15
絶対他のも対応されると思う

2023/06/01(木) 23:27:52.30

＞その結果、これらの攻撃は、「Xiaomi Mi 11 Ultra」や「Samsung Galaxy S10＋」などの全てのAndroid、HarmonyOS搭載端末で無制限の試行を可能にすることに成功した。「Apple iPhone 7」などのiOS端末では15回の試行までしかできないことが分かった。

ふむ…🤔

2023/06/01(木) 23:27:55.95

>>14
確かに…

2023/06/01(木) 23:28:11.16

またアップルの宣伝か

2023/06/01(木) 23:30:46.61

>>17
その結果が指紋や顔認証を一時的にオフにするロックダウンモードの実装だったはずなんだけどなぁ
早く改善してほしい

2023/06/01(木) 23:31:58.17

ハーモニーOSって泥ベース？

2023/06/01(木) 23:32:05.49

iPhoneは本当こういうときつえーな

2023/06/01(木) 23:35:15.21

>>17
この手のサポート終わったスマホどうすんだよ？
ガバガバのまま放置か？

サポート終了時にbluとrootを一般解放してカスロムを入れられるように法律で義務化しないとヤバイんじゃない？

【速報】FCNTが経営破綻、負債総額1,775億円、日本製スマホ、ARROWS伝説はついに終焉
https://hayabusa9.5ch.net/test/read.cgi/news/1685607964/

2023/06/01(木) 23:37:55.89

Pixelは突破出来なかったのかな

2023/06/01(木) 23:38:25.76

>>12
こういうアホいるよな
大学で軍事研究駄目とかもそうだけど
攻撃出来るって事は防御も知見を得ることになるのに

2023/06/01(木) 23:40:35.40

>>20
広く使われているスマホ10種類のうち

ここが抜けるととんでもねぇっす

2023/06/01(木) 23:44:49.66

iPhone7とか何年前の機種だよ
さすがにApple強すぎ

2023/06/01(木) 23:45:24.47

流石に日本メーカーはないか
https://i.imgur.com/ESv6K7h.png

2023/06/01(木) 23:53:23.16

このテロ国家どうにかならんの

2023/06/01(木) 23:53:33.71

でもさ、結局のところ、ブルートフォース方式やん
何のことはない半世紀前の技術

2023/06/02(金) 00:00:03.32

自民党は国家転覆罪にならないの？

2023/06/02(金) 00:33:14.31

>>25
おめでたいな
Appleに全て把握されてんのに

2023/06/02(金) 02:04:28.55

こういうのAndroidで久々じゃね
ヤバい脆弱性と言ったら最近ずっとiPhoneだったし
どっちも過信は禁物やな

2023/06/02(金) 02:21:17.98

サタンの自堕落な不幸は真のお父様への供物也苦しめ

2023/06/02(金) 02:59:24.86

最短40分くらいで攻撃できるそうです
https://gigazine.net/news/20230523-expose-smartphone-fingerprint-bruteprint/

数千円の部品でツールが作れてしまうのでスマホ盗難後は洒落にならないですね

2023/06/02(金) 03:03:29.89

やっぱapple最強やな

2023/06/02(金) 03:14:26.59

泥爺オハタ

2023/06/02(金) 03:17:56.92

もう国がiPhoneくばったら？

2023/06/02(金) 04:37:23.23

登録した指紋データのサンプルはバックドアから抜かれるんだからそりゃこうなるよね

2023/06/02(金) 04:41:53.22

マナバ脂肪か？

2023/06/02(金) 04:42:59.29

中国に文明持たせたアメリカが悪い

2023/06/02(金) 07:35:40.95

>>15
チョンモメン「コスパの中華スマホ！🤪」　←ｗｗｗ