サムスンの主力機種 Galaxy S5 の指紋スキャナは、iPhone 5s の指紋スキャナと同じセキュリティ上の欠陥を抱えており、所有者にとって多少のリスクを生み出している。
ドイツのセキュリティブログ「H Security」は、Galaxy S5に既に設定されている指紋を木工用接着剤で型取りすることで、第三者が不正アクセスできることを発見しました。サムスンの指紋スキャナーがPayPalアプリと連携していることを考えると、これは連絡先や写真だけでなく、モバイル決済にも悪用される可能性があることを意味します。
H SecurityはiPhone 5sのTouch IDと同じ型を使用しましたが、Galaxy S5にはセキュリティ上の懸念があります。型は人の指から直接採取されたものではなく、スマートフォンの画面に映った指紋の写真から採取されたものです。
AppleはiPhone 5sを再起動した後に一度だけパスワードを入力するよう求めていますが、Galaxy S5ではパスワードは不要で、指(あるいはなりすましによる不正アクセス)を使ってすぐに認証できます。Galaxy S5のPayPalアプリでもパスワードは不要で、指だけで認証できます。
「プレミアムスマートフォンの主力機能の一つであるにもかかわらず、サムスンの指紋認証の実装には多くの改善の余地がある」と、SRLabsの研究者は火曜日のビデオで述べた。「サムスンのGalaxy S5の指紋スキャナー機能は、既に同様の実装について表明されているセキュリティ上の懸念に加え、新たな懸念を生じさせている。」
Samsung の Galaxy S5 は、モバイル セキュリティの確保に取り組む Fast Online Alliance に加盟しました。これは基本的に、Samsung がユーザーの指紋をクラウドに送信せず、iPhone 5s のようにローカルに保存することを意味します。
PayPalは火曜日にBGRへの声明で、 「Security Research Labsの調査結果を真摯に受け止めておりますが、指紋認証はパスワードやクレジットカードよりもモバイルデバイスでの決済において、より簡単かつ安全な手段であると確信しております」と述べました。 「PayPalはGalaxy S5の認証において、お客様の指紋を一切保存したり、アクセスしたりすることはありません。このスキャンによって、携帯電話のパスワードの代わりになる安全な暗号鍵が解除されます。」
誰かが指紋を採取するとは考えにくいが、Galaxy S5 に別の安全性チェックがないという事実は懸念材料となるかもしれない。
