眼球や顔は指紋ほど安全ではない。ドイツのハッカー集団「カオス・コンピュータ・クラブ」は、サムスンのスマートフォン「Galaxy S8」に搭載されている虹彩認証技術を突破した。Galaxy S8の虹彩スキャナーを欺いてロックを解除するために必要なのは、スマートフォン所有者の目の赤外線写真とコンタクトレンズだけだ。
ArsTechnica によれば、写真はクローズアップである必要はないとのこと。
以下のビデオは、もともと Starbug (ハッキングの背後にいる主要な研究者の 1 人が使用した名前) によって投稿されたもので、ロック解除されたデバイスの価格 725 ドルよりも安い機器を使用して、基本的なデジタル カメラ、Samsung のレーザー プリンター、コンタクト レンズなど、Samsung の主力スマートフォン Galaxy S8 の虹彩認識を回避する方法を示しています。
攻撃者は、携帯電話所有者の顔写真を所持している必要があり、その写真を印刷して、その虹彩にコンタクトレンズを当てる必要があります。ロックされたGalaxy S8の前にその写真をかざすと、虹彩スキャナーがロックを解除します。
Galaxy S8の虹彩認証技術を開発したプリンストン・アイデンティティ社は、同端末が「万全のセキュリティ」を提供し、消費者が「ようやく自分の端末が保護されていると信頼できる」ようになったと述べています。サムスン自身も、Galaxy S8の虹彩スキャン機構は「端末をロックする最も安全な方法の一つ」だと主張しています。
そうは言っても、携帯電話の生体認証を回避するのは笑ってしまうほど簡単だということはわかっています。
3月にiDeviceは、携帯電話の所有者の簡単な顔写真をスキャンするだけでGalaxy S8の顔認識機能を騙して携帯電話のロックを解除できることを証明するビデオを投稿した。
https://www.youtube.com/watch?v=LXd26Nqg5tQ
コリア・ヘラルド紙によると、Galaxy S8とGalaxy S8 Plusは、寝ている人の顔をスキャンするだけでもロック解除できるという。サムスンは、Galaxy S8の顔認証ロック解除技術が最も安全な生体認証システムではないことを認識しており、3月にMashableに提出した声明の中で、同社の広報担当者は、顔認証ロック解除はSamsung Payでの購入には利用できないと述べている。
そのためには、虹彩スキャナーはアプリやメディアの購入、または端末のロック解除にしか使用できないため、端末の指紋リーダーを使用する必要があります。Galaxy S8には、前面カメラによる虹彩スキャンと顔認証に加え、背面に移動されたセンサーによる指紋認証が搭載されています。
Apple 独自の Touch ID 指紋リーダーもハッキングの危険から逃れることはできません。
2013年、Starbugは、水中グラスから偶然採取した指紋を使ってTouch IDを欺き、iPhoneのロックを解除できることを実証しました。Androidスマートフォンも同様のハッキングの影響を受けます。
ご存知の通り、AppleはiPhone 8に顔認証、そしておそらく虹彩認証も搭載すると予想されています。しかしStarbug氏は、将来的に虹彩認証を搭載したスマートフォンも同様にハッキングされやすい可能性があると警告しています。Starbug氏によると、虹彩認証は虹彩を隠すことができないため、ハッキングを完全に防ぐのは難しいとのことです。
「指紋よりもさらに悪い」とハッカーは付け加えた。
