The guardian の記事1によりますと、HTCのスマホが利用者の指紋画像を誰でも読み出せる形で保存していたことが発覚したようです。発見したのはFireEyeの4人の研究者達で、8月5日にBlackHat2で論文3が発表されました 。指紋画像は /data/dbgraw.bmp に暗号化もされず World Readable でおいてあるそうです。したがって、アプリ等から自由に読み出せるとのこと。
この発見のあと、HTCの株価は2割近く急落、その時価総額は解散価値を下回っている4とのことです。
このセキュリティホールはHTCのものですが、Samsungを含む多くのスマホメーカーは、ARMなどが提供する組み込みのセキュリティ機能を使用していないため、攻撃者は自由に、かつ気づかれることなく、秘密裏に利用者の指紋を読み取り続けることができるそうです。
パスワード窃盗は大きな問題になっていますが、生体データ〜特に生の生体データ〜の窃盗はそれよりも遥かに重大な問題をはらんでいます。これらは、パスワードと違って取り替えることができないからです。その結果、パスワード以上に深刻なIdentity窃盗問題を産みかねません。より慎重な取扱が求められます。
脚注
- The Guardian: “HTC stored user fingerprints as image file in unencrypted folder”, (2015/8/10) http://www.theguardian.com/technology/2015/aug/10/htc-fingerprints-world-readable-unencrypted-folder
- BlackHat Briefings – August 5-6, https://www.blackhat.com/us-15/briefings.html
- Zang, Y., Zhaofeng, C., Xue, H., Wei, T.: “Fingerprints On Mobile Devices: Abusing and Leaking”, (2015/8) https://www.blackhat.com/docs/us-15/materials/us-15-Zhang-Fingerprints-On-Mobile-Devices-Abusing-And-Leaking-wp.pdf
- Biggs, J.:”HTC Is Now Essentially Worthless (And Insecure)”, (2015/8/10), TechCrunch, http://techcrunch.com/2015/08/10/htc-is-now-essentially-worthless-and-insecure/?ncid=rss&utm_medium=twitter&utm_source=twitterfeed