本日開催されたBlack Hatセキュリティカンファレンスで、研究者らがFace ID認証をバイパスする独自の方法を披露しました。このバイパス技術の基盤となるのは、テープで貼り付けたメガネと、Face IDの注視検出機能です。

ThreatPostが詳述しているように、Face IDの欠陥の一つは、眼鏡をかけている場合、眼鏡を認識しても目の周りの3D情報を抽出できないことです。この脆弱性は、テンセントの研究者によって発見されました。

テンセントの研究者たちは、この攻撃を実行するために、生体認証の背後にある「生体検知」と呼ばれる機能を利用した。これは、人物の「本物」と「偽物」の特徴をふるい分ける生体認証プロセスの一部であり、背景ノイズ、反応の歪み、焦点のぼやけなどを検知することで機能する。

研究者たちは、生体検知がユーザーの目をどのようにスキャンするかに特に着目しました。その結果、生体検知における目の抽象化により、黒い領域（目）とその上に白い点（虹彩）が描画されることが分かりました。また、ユーザーが眼鏡をかけている場合、生体検知による目のスキャン方法が変化することも発見しました。

セキュリティ研究者たちは、眼鏡のレンズに黒いテープを貼り、その内側に白いテープを貼ることで、この脆弱性を突くことに成功しました。研究者たちはこの眼鏡を「Xメガネ」と名付けました。つまり、この眼鏡をかけているだけで、研究者はFace IDの生体認証機能を回避し、他人のiPhoneにアクセスできるのです。

緩和策として、研究者らは、生体認証メーカーに対し、ネイティブカメラのID認証を追加し、ビデオおよびオーディオ合成検出の重要性を高めることを提案した。

もちろん、これはかなり難しい攻撃です。他人のスマートフォンのロックを解除するには、メガネをかけ、Face IDが機能するのに十分な大きさに調整する必要があるようです。研究者らが指摘するように、この攻撃は被害者が意識を失っている場合に最も効果的です。

とはいえ、これは他のFace ID回避事例で明らかになった攻撃とは全く異なるものです。サイバーセキュリティの専門家がマスクを着用してFace IDを突破した例も見られ、双子や兄弟姉妹にも問題があります。

Apple自身も本日開催されたBlack Hatセキュリティカンファレンスで、注目すべき発表をいくつか行いました。同社はセキュリティ報奨金制度を拡大し、報奨金の増額、macOSサポート、iOSセキュリティ研究デバイスプログラムなどを導入します。

https://twitter.com/ThrowTheComp/status/1159625725856690176

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。