研究者がスクリーンの汚れを利用した攻撃で、Androidの暗証番号を68％解読

　映画のシナリオでは復元した指紋サンプルを使って生体認証システムを迂回したりするが、ペンシルバニア州立大学の研究者は、異なる照明条件とカメラ位置で撮影された写真を使って、2つのAndroidスマートフォン（HTC G1およびHTC Nexus One）のパスコードを68％の頻度で解読した。

　同研究者らの論文、「Smudge Attacks on Smartphone Touch Screens」（スマートフォンタッチスクリーンの汚れを悪用した攻撃）には、次のように説明されている。

　Androidのパスワードパターンに起因する汚れを悪用したこの攻撃の実行可能性を検証するため、われわれはまずスマートフォンのタッチスクリーン表面から汚れを写真的に抽出できる条件を評価することから分析を始めた。われわれはさまざまな照明の角度と光源、そして端末の位置に対するさまざまなカメラのアングルを検討した。

　その結果は、非常に心強いものだった。ある実験では、テストされた証明とカメラの設定条件で、92％が部分的に、68％が完全にパターンが識別可能だった。もっとも悪い結果が出た実験で、理想的なパターン入力条件ではなかった場合でも、パターンの37％を部分的に、14％を完全に抽出することができた。

　この実験は2つの異なるシナリオで行われた。一方は遠隔で操作をする受動的な攻撃者を想定しており、もう一方はデバイスの物理的なセキュリティを侵害している、すなわち物理的にアクセスできる積極的な攻撃者を想定している。最悪の条件の実験でも、タッチスクリーンに残留した油から、37％のケースで部分的に、14％は完全に情報を抽出することができた。

　この研究では、「Androidのパスワードパターンは強化されるべきだ」と提言している。別の観点から見ても、非常に市場性が高い、使いやすいタッチスクリーンのパスワードパターンに自分のデータの秘密を委ねるというのは、デバイスが盗まれたりなくなったりした場合のためにサードパーティが提供するデータ暗号化アプリケーションを使うのでない限り、そもそもあまりよい判断とは言えない。