スマートフォンのモーションセンサを使って暗証番号を盗む試み 31
ストーリー by hylom
せまる危機 部門より
せまる危機 部門より
taraiok 曰く、
ペンシルベニア州立大学とIBMが共同でAndroid端末に内蔵されているモーションセンサーを使って暗証番号を盗む実験を行っているという(TechWeek記事、ペンシルベニア州立大学論文PDF、本家/.)。
この実験で使われたのは、アイコンを叩くゲームを装ったトロイの木馬「TapLogger」。このソフトウェアはユーザーが画面をタップした際の端末の動きをモーションセンサーで収集するもので、このゲームを30回クリアすると400以上のモーション情報が蓄積されるという。
モーションの蓄積後、ユーザーがタッチスクリーン上でキーをタップすると、そのときの端末の動きから入力されたキーが推測されて情報が盗まれるという。概念検証はAndroidで行われたが、iPhoneにも応用可能だとしている。
バックグラウンド動作をOS側で制限 (スコア:3, 興味深い)
スマホの加速度センサで机づたいにキーボード入力を盗聴する技術もありましたが、位置情報に続いてOSのアクセス制御対象に加えるべきってことですかね。
#機能的に多チャンネルマイクと同じなんだし、そんな過剰な情報がなんで制限されてないんだとも言えるけど
ただ結局はバックグラウンドアプリの権限を制限する手段が無いとどうしようもないように思います。
#カレログみたいなのもフォアグラウンドでのみ位置情報アクセスできる権限設定があれば合法だったかもしれないし
Re:バックグラウンド動作をOS側で制限 (スコア:1)
セキュリティ面はほんとザルですねぇ。
しかし各種機能がアプリ頼みで本体にはついていないから、なにかしたかったらアプリをダウンロードしてこなきゃならない。
Yahoo!BBの赤いバイトがモデム?配ってた時代を思い出します。
あの頃はセキュリティ気にもせずいろいろフリーソフト入れてあれこれカスタマイズやってたっけな。
#今じゃ良い着メロ探すのも面倒でプリインストールのそのまま使ってるくらいやる気がないw
ψアレゲな事を真面目にやることこそアレゲだと思う。
人の目が危険 (スコア:1)
キーボードでも遠くからタイプする指の動きを見るだけでどんな入力したかはわかる。
パス入力時に伏字になってても指の動きを見てれば関係ない。
特にPC起動時の指の動きに注意を払っていれば、IDとパスワードは高確率で特定できる。
タッチパネルのモーションでも盗めるだろうし面白い実験ではある。
Re: (スコア:0)
そこで、キーを打つごとに配置がランダムで変わる
スクリーンキーボードというアイデアを考えたんだが・・・
Re:人の目が危険 (スコア:2)
アーケードゲームでもキーを打つごとではないですが、
jubeatやReflecbeatはユーザー認証を行う際タッチパネル上に記されたテンキー配置が毎回変わりますね。
完全ランダムではなく、ある程度規則性をもった並びではありますが。
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
Re: (スコア:0)
三井住友銀行も変更可能ですよ。
Re: (スコア:0)
そこで DataHand ですよ.これだとよほど近くで見てないと指の動きでわかるなんてことはない.
わざわざ悪用しなくても (スコア:1)
つまりこれの精度を上げられたら、タッチパネルがなくてもモーションセンサーだけでタッチ入力が可能になるってこと?
Re: (スコア:0)
Re: (スコア:0)
なるほど (スコア:1)
タップ時の振動を抑えることができれば [marudai-corp.com]
やはり生体認証しかない (スコア:0)
Re:やはり生体認証しかない (スコア:2)
100万円しか入れてない口座なのに、疾患や障碍を負ったらATMが操作できなくなるとしたら、面倒そう。
まあ、支店長に病室まで来てもらうとかすれば良いんだけどさ。他の口座もあるだろうし。
それに、海外では、指紋認証のために強盗に指を切り落とされた人とかいましたよね?
はげしくオフトピ(Re:やはり生体認証しかない) (スコア:2, 参考になる)
100万円しか入れてない口座
そんな台詞言ってみたいもんです…
Re:はげしくオフトピ(Re:やはり生体認証しかない) (スコア:1)
意識的に文脈を無視されても。無条件に最低でも生体認証といわれたから、個人の生活費を入れた口座には過剰だと感じているだけ。全国のATMのほとんどすべてを入れ替えないと顧客に強要できないわけだし。
一般庶民の金銭感覚でも口座の残高が100万円以上だとしてそんなに騒ぐほどの額かな。
Re: (スコア:0)
横だが、おまえちょっとは空気読めよ‥‥‥
# 以下オフトピのオフトピ
http://www.shiruporuto.jp/finance/chosa/yoron2011tan/11bunruit001.html [shiruporuto.jp]
によると、世帯貯蓄(金融資産含む)が100万円未満は、人数構成比率で20代で26.2%、30代で11.5%、ちなみに40代以降は7%以下に下がっているが‥‥‥。騒ぐほどの額かどうかはさておき、その貯蓄ができていない世代が無視できない比率で存在する、というのは公民として知っておいて損はない知識だよ。
Re:はげしくオフトピ(Re:やはり生体認証しかない) (スコア:2)
無視できないって、誰が何の話? 社会保障や景気の話でもしてる? それなら確かに無視できない数字だけど。
別に財布に100万いれてるって話じゃないんだよ、預金(ATM)の話。
それに20代で73.8%、40代以降で93%以上がそれ以上の預金を持っているんでしょ。圧倒的多数ってことだけど。
Re:はげしくオフトピ(Re:やはり生体認証しかない) (スコア:2)
それに生体認証を本格的に導入するには、全国でATMのリプレースを行う必要があるから、莫大な費用がかかる。それはどこかの知らない人が出すんじゃなく、結局は我々、預金者が払うんだよ。預金自体はゼロ金利政策だから下げようがないけど、自動車ローン、住宅ローンの金利が上がるかも知れない。
(生体認証のカードで暗証番号兼用にすると意味がないし、出先でATMが使えないと不便すぎる)
まあ、預金が100万以下の人は銀行などの金融機関からローンを組むことはないだろうけど。
Re: (スコア:0)
アンケートだと貯蓄額ってまともに答えるものなのかな?
Re: (スコア:0)
アレゲな人の場合、年収と貯蓄額は必ずしも比例しないとは思うけど。
Re: (スコア:0)
ここを読み書きしてい人の平均年収は高いと思うけどな。
肝心なところに脱字があるようで、回答しようがありません。
勝手に補完してトラブるのも嫌なので、お答えしません。
(一応3種類ほど考えたんですが、消しましたw)
Re: (スコア:0)
無条件に最低でも生体認証といわれたから、個人の生活費を入れた口座には過剰だと感じているだけ。
それを説明するのに口座残高なんか関係ないし、「1万円を引き出すのに、疾患や障碍を負ったらATMが操作できなくなるとしたら、面倒そう。」と書けばいいだけの話。
それに残高100万円の口座の金額移動に支店長が出張るってことないって。
それだけの話を更に
まあ、支店長に病室まで来てもらうとかすれば良いんだけどさ。
なんて表現までつけて誇張しているわけだ。
#俺が支店長の顔見たことあるのなんて住宅ローン組む時と、組み替えるときだけだw
一般庶民の金銭感覚でも口座の残高が100万円以上だとしてそんなに騒ぐほどの額かな。
はぁ?あなたの最初の表現確認しました?
「100万円しか入れていない口座」と書いたんですよ。
Re:やはり生体認証しかない (スコア:1)
東京三菱UFJの手の平の静脈認証を登録してますが。
1. 暗証番号もOK、ただし静脈認証をONにした時に 暗証番号 静脈認証 な引き落し最大金額設定をする
2. 他の人がハンコで引き落しできなくなるので、セカンド認証者(家族)を登録するように促される(そういやしてないや...w)
という感じで+αでしたね。
落しどころはあるんじゃないかな?
M-FalconSky (暑いか寒い)
Re:やはり生体認証しかない (スコア:1)
ああ、テキストOKだと不等号がw
暗証番号 < 静脈認証
です。
M-FalconSky (暑いか寒い)
Re:やはり生体認証しかない (スコア:1)
>疾患や障碍を負ったらATMが操作できなくなるとしたら、面倒そう。
それは既知の問題なので、対応はなされてるはず。
手のひら静脈でも両手のデータを取るので片手が怪我して使えなくても、もう片手で認証できる。
両手とも切り落とすほどの重傷を負った場合は、そもそも普通のATMは使えないと思う。
Re:やはり生体認証しかない (スコア:1)
>>100万円しか入れてない口座なのに
その100万振り込んで下さいというのは冗談にしても
パスワードも結局拷問されれば同じなんでパスワードでよいという結論に既に達してるかと
暗証番号以外は (スコア:0)
今回のものはスマートフォン上での入力を読み取るもののようですが、
番号入力以外のもの(英文字まで含めた入力、パターンをなぞる、等)でも取得可能かどうかで、
危険度はいろいろ違ってきそうな感じですね。
# 記事はぱっと見ただけなので、その辺まで含んだ研究なのかは未確認。
Re:暗証番号以外は (スコア:1)
論文のアプリはタップの検出に特化していると思います。
タップの瞬間の沈み込み・指を離した時の浮き上がりからタップのタイミングを、また例えばスクリーンの左上をタップするとスマートフォンの左側・上側が沈むようにひねられる動きをすることから大まかなタップ位置を検出してます。
細かい座標まで読み取ることは難しいわけですが、番号入力画面では
1 2 3
4 5 6
7 8 9
* 0 #
のような決まった配列がでっかく出るのが普通で、x座標なら「左・中央・右」だけ推定できれば事足りてしまいます。また「1文字目は1・2・4のどれか」までしか判らなくても、Brute Force Attackの難易度が激減します。
原理的には、他の入力でも「思わずスマートフォンが動いている」なら取得はされうる気がします。左にフリックする時にスマートフォンも少しだけ左にねじっている、とか。
# つまり手ブレさせなければ読み取られない…「スマートフォンは両手でしっかり持ち、脇を締め、あるいは壁や机に手首や肘を押し付けて固定し、ゆっくりとタップ」…
Re: (スコア:0)
逆にブレまくって震えてるのをわからないようにしてやるって手も
Re: (スコア:0)
どこかの映画でキーボードを赤外線ライトで照らして指紋の場所から言葉を連想して侵入するっていうのがあったな