La più grande vulnerabilità del vostro telefono è il lettore di impronte digitali

Ti interessa questa notizia? Condividila sui tuoi social preferiti!

In cinque minuti, una persona può falsificare un’impronta digitale e introdursi in un telefono. Lo fa l’azienda specializzata in biometria Vkansee durante le fiere di settore, basta un po’ di pasta per protesi dentarie e qualche tentativo per allinearla sul lettore di impronte digitali. Naturalmente, questo particolare metodo funziona solo se si dispone dell’impronta del proprietario, e non è un sistema infallibile, tuttavia è uno dei modi più primitivi per bypassare uno scanner di impronte digitali.

smartphone-impronta-digitale-informatblog

E’ un buon trucco, e ci dovrebbe rendere un po’ nervosi: i lettori di impronte digitali sono una parte essenziale di un moderno smartphone, e nella maggior parte dei casi, rendono le app più sicure. La maggior parte dei lettori biometrici lavorano con hardware isolato e nessuna prova di conoscenza, in modo che catturare i dati in transito non sia sufficiente per lo spoofing di un login. Se avete intenzione di violare un telefono, è necessaria l’impronta stessa. La cattiva notizia è che le impronte digitali possono ancora essere rubate, e a differenza di un codice di accesso, non è possibile modificarle, per cui un singolo furto delle credenziali crea una vulnerabilità a vita. Quello che appare come un aggiornamento di sicurezza si rivela essere qualcosa di molto più complesso.

impronta-digitale-false

Questo è particolarmente vero nella scia del caso San Bernardino, che ha visto l’FBI lavorare per sbloccare un iPhone collegato al killer. Come spesso accade, l’iPhone in questione era un 5C, l’ultimo costruito senza un lettore di impronte digitali. Ma se avessero avuto a che fare con un telefono più recente, sarebbe stato banale per gli investigatori entrarci: come un certo numero di commentatori morbosi hanno sottolineato, l’FBI aveva possesso del cadavere del killer Farook, avrebbero potuto semplicemente portare il telefono all’obitorio e mettere il dito sul TouchID.

Questo è possibile anche quando il soggetto è ancora vivo e non cooperativo. Un recente caso di Los Angeles ha visto un giudice che emettere un mandato per forzare una donna a mettere il dito su un telefono cellulare sequestrato per sbloccarlo, a seguito della sua condanna per furto di identità.

Se quella donna fosse stata censita in un database del governo federale, il mandato non sarebbe stato necessario. Stampi 3D consentono ad ogni immagine di impronta di essere trasformata in un modello funzionante, e la polizia ha un numero sempre crescente di immagini da scegliere. La politica di sicurezza americana ad esempio è quella di raccogliere le impronte digitali dei cittadini non statunitensi di età compresa tra 14 e 79 anni al loro ingresso nel paese, insieme a un numero crescente di impronte digitali prese da immigrati irregolari fermati alla frontiera. L’FBI mantiene un database con oltre 100 milioni di impronte digitali, di cui 34 milioni di “civili” che non sono legati ad un fascicolo penale. Il Dipartimento della Difesa mantiene infine un terzo database con ancora più impronte digitali raccolte da ufficiali militari di tutto il mondo. Tali registrazioni sono tipicamente utilizzate per la verifica, ma una volta raccolte, non c’è ragione per non usarle per attivare un lettore di impronte digitali.

Mentre questa enorme collezione diventa sempre più grande, le impronte digitali possono diventare una forma di protezione facilmente raggirabile, assieme a password, carte di credito e codice fiscale. Il furto delle credenziali può accadere anche in scala più piccola, quando i criminali potrebbero tirare fuori le impronte digitali persino da foto ad alta risoluzione. Per un determinato attaccante, una impronta digitale è più facile da rubare di una password: è visibile sul corpo in ogni momento, e viene comunicata ogni volta che si tocca una superficie piana. E’ raro che un criminale possa farcela, ma potrebbe diventare più comune affidandoci alle impronte digitali per gli accessi. E una volta che qualcuno ha un’immagine della stampa, farne un modello è banale. Le stampanti 3D sono ormai facili da trovare, e alcuni esperti di sicurezza hanno già capito altri metodi per falsificare una stampa.

Anche con i lettori di impronte digitali sulla maggior parte dei telefoni, la biometria è ancora lontana dal diventare la protezione principale nei nostri dispositivi. Gli analisti stimano che meno del 15% di iPhone venga sbloccato attraverso il sensore TouchID, e molti telefoni semplicemente non avranno le impronte digitali dell’utente a bordo. Per quei telefoni, il database di impronte digitali del governo americano è effettivamente inutile. Ma chi effettua l’accesso con l’impronta digitale dà alla polizia un modo semplice per accedere alle informazioni riservate del telefono. Come mostra il caso di Los Angeles, il governo americano sta cominciando a trarre il massimo vantaggio da tale apertura.

Questo non è solo un problema per i criminali, ma per la biometria in generale. Finché le agenzie federali raccoglieranno le impronte digitali alla rinfusa non saranno mai private, il che significa che non saranno mai veramente sicure. Per tutti coloro che sperano che i lettori di impronte digitali potrebbero inaugurare una nuova era di sicurezza mobile, questa è una notizia terribile. I riflettori sul caso di San Bernardino e le protezioni della schermata di blocco sono solo il picco dell’iceberg. Una impronta digitale può essere una password personale o può essere un ID governativo, ma non può essere entrambi. In questo caso, l’America potrebbe aver già scelto per noi. (Fonte)

Loading...

Aggiungi commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *