指紋スキャナーは、現代のスマートフォンに初めて統合されて以来、次のような疑問を提起してきました。安全なのか、信頼できるのか、誰が私の指紋にアクセスするのか?
セキュリティ企業FireEyeの研究者たちは、スキャナーを欺くための外部的な手段が複数存在するほか、HTC One MaxやSamsung Galaxy S5などのスマートフォンに、ハッカーやマルウェアによる指紋画像の複製を許す内部的な脆弱性を発見しました。研究者が影響を受けたと確認したすべてのスマートフォンでこの脆弱性は修正されましたが、パッチの適用方法は不明です。
指紋認証がどれほどセキュリティが脆弱だったかを語る前に、スマートフォンについていくつか留意すべき点を挙げておきます。スマートフォンはキーボードもマウスもない、ただの小さなコンピューターです。他のコンピューターと同様に、スマートフォンもデータをフォルダーに整理しています。ユーザーは一部のフォルダー(アプリケーションを保存・表示するフォルダーや、画像を保存するフォルダーなど)にのみアクセスできますが、他のフォルダーにはアクセスできません。これは、重要なファイルを誤って削除してしまうのを防ぐためです。さらに、セキュリティ上の理由から、一部のフォルダーはスマートフォンのオペレーティングシステムのみがアクセスでき、一般ユーザーやアプリケーションはアクセスできません。スマートフォンメーカーは、通常、このようなフォルダーに指紋データを保存しています。
SamsungとHTCはそうしていませんでした。彼らはそれらを/data/というフォルダに保存していました。これはアクセスしやすいフォルダです。Androidスマートフォンをお持ちなら、ファイルマネージャーを開いて今すぐそのフォルダを見ることができます。(空っぽに見えるかもしれませんが、それはファイルが隠されているからです。ほとんどのファイルマネージャーのオプションページで変更可能です。)ファイル自体は一般的な画像形式(.bmp)で、画像は最小限のセキュリティで保護されているだけでした。スマートフォンの権限設定は実際には「誰でも読み取り可能」です。つまり、悪意のあるアプリがあなたの指紋画像を取得しようとしても、それを止めるものは何もありません。それだけです。ルート権限を取得するための攻撃やフィッシング攻撃はありません。保護されていないフォルダにアクセスするだけです。
最も控えめな推計でも、1,200万台の携帯電話が指紋を盗まれる危険性がありました。これは、Samsung S5の販売台数に関する信頼できる最新の数字です。HTC One Maxの数字は不確かで、研究者が他の携帯電話で同様の脆弱性を発見したとしても、その名前は公表されていません。
研究者らは報告書の中で、認証と認可の用語の不備についても言及しています。彼らはこれを「混乱した認可攻撃」と呼んでおり、ユーザーがスマートフォンを開く(認証する)だけのつもりなのに、悪意のあるアプリが同じ指紋を使ってモバイル決済を認可してしまうというものです。オンラインセキュリティの維持を目的としたセキュリティコンソーシアムであるFIDOアライアンスは、Microsoft、Samsung、Googleなどがメンバーであり、現在、これらの脆弱性に適切に対処するための仕様策定に取り組んでいます。
