画面スワイプ音から指紋が割り出される恐れ：研究者が警告

2月22日： サイバーセキュリティ関連ニュース

画面スワイプ音から指紋が割り出される恐れ：研究者が警告

Cybernews – February 21, 2024

スマホの画面をスワイプする音声から指紋を予測し、認証などで利用できるマスター指紋を生成するという新たなサイドチャネル攻撃の手法「PrintListener」を、中国と米国の研究者らが考案。リアルワールドのシナリオにおいて、​​他人受入率（FAR）が最大レベルの0.01%に設定された状態でこの攻撃を5回試行した結果、指紋の一部であれば最大27.9%、完全な指紋でも9.3%の確率で割り出すことに成功したという。

この研究において研究者らはまず、テスト参加者9人にマットなスクリーンプロテクターを貼り付けたGoogle Pixel 4の画面をスワイプしてもらい、その際の摩擦音を録音して、摩擦音の各データポイントが固有の指紋パターンに対応するクラスターを形成していることを明らかにした。その後、研究者たちは18歳から30歳までの65人の参加者を募り、PrintListenerの手法を試行し評価したのだという。

摩擦音については、ソーシャルメディアアプリやオンライン会議アプリ、スパイウェアなどを介して録音するという攻撃シナリオが想定された。指の摩擦音の強度は極めて弱いことや、録音音声にはノイズが入り込みがちであることなどが課題ではあるものの、PrintListenerの手法にはステルス性がある上、実施する上で広範なトレーニングを受ける必要もないという利点があるとされる。

指紋はすでに、携帯電話の画面ロック解除、オンライン決済の承認など、個人識別の手段としてかなり普及している。このため指紋が流出すれば、機密性の高い情報の盗難から経済的損失、さらには国家安全保障の侵害に至るまで、多くの損害がもたらされる恐れがある。研究者らはPrintListenerのようなサイドチャネル攻撃を防ぐため、「ソーシャルメメディアアプリ内の通話機能使用中は画面をスワイプしない」、「画面保護フィルターをマットなものではなく光沢のあるものにする」などの予防策を提唱しているとのこと。

Chrome 122、Firefox 123で深刻度の高い脆弱性が修正される

SecurityWeek – February 21, 2024

GoogleとMozillaが20日、それぞれChromeとFirefoxをアップデートし、複数の脆弱性を修正した。

Googleは安定チャネルで「Chrome 122」をリリースし、脆弱性12件に対処した。これらの脆弱性のうち2件は深刻度が高く、一方はBlinkの境界外メモリアクセスの脆弱性CVE-2024-1669で、他方はMojoの解放済みメモリ使用の脆弱性CVE-2024-1670とのこと。

Mozillaは「Firefox 123」をリリースし、同じく12件の脆弱性に対処した。修正された脆弱性には深刻度の高い欠陥が4件あり、それぞれネットワークチャネルの境界外メモリ読み出しの脆弱性（CVE-2024-1546）、メモリ安全性の脆弱性（CVE-2024-1553、CVE-2024-1557）、アラートダイアログのなりすましの問題（CVE-2024-1547）と説明されている。

両社とも、今回のリリースで対処した脆弱性が実際の攻撃に悪用されたかどうかについては言及していない。