L’arrivo del ‘touch ID’ ossia dell’uso delle impronte digitali per sbloccare il cellulare, sembrava avesse risolto tutti i problemi di sicurezza degli smartphone. Il sistema, sulla carta, è il più sicuro e il più difficilmente piratabile e secondo alcune proiezioni sarà disponibile sul 50% degli smartphone venduti da qui al 2019, tanto più che con l’arrivo di sistemi di pagamento come Apple Pay, Samsung Pay e Android Pay, il riconoscimento delle impronte digitali è utilizzato non più solo per sbloccare il dispositivo ma anche per effettuare pagamenti ‘sicuri’ e altre transazioni.
Sulla carta, appunto. Perché è proprio grazie a una speciale carta fotografica e a una stampante che il sistema di sicurezza può essere facilmente aggirato, e anche velocemente, visto che bastano 15 minuti.
Lo hanno dimostrato Kai Cao e Anil K. Jain, due ricercatori della Michigan State University utilizzando due smartphone Android di fascia alta – un Samsung Galaxy S6 e un Huawei Hornor 7 – una semplice stampante e un inchiostro ‘conduttivo’, quello cioè che viene usato per creare circuiti stampati.
I due ricercatori hanno quindi scannerizzato le impronte digitali del proprietario dello smartphone e le hanno stampate su carta fotografica per poi passarle sui lettori degli smartphone. E il trucchetto sembra funzionare, anche se ci sono voluti diversi tentativi per imbrogliare l’Hornor 7. Difficile, quindi, ma per niente impossibile.
In questo video è riassunto il loro esperimento:
Obiettivo dei due ricercatori è attirare l’attenzione su come, con un po’ d’ingegno, sia possibile aggirare uno dei sistemi di sicurezza ritenuti più affidabili per spingere i costruttori di smartphone a migliorare le loro tecnologie di identificazione prima che qualche hacker approfitti di queste vulnerabilità.
Cao e Jain spiegano infatti che “questo esperimento conferma ulteriormente l’urgente bisogno di tecniche anti-spoofing per i sistemi di riconoscimento delle impronte digitali che sono usati sempre di più non solo per sbloccare i dispositivi mobili ma anche per effettuare pagamenti”.
I due ricercatori ammettono che “non tutti gli smartphone possono essere violati” utilizzando il metodo da loro proposto e con lo sviluppo di nuove tecniche anti falsificazione, anche questo metodo potrebbe non essere più valido.
“Tuttavia – concludono – è solo una questione di tempo prima che gli hacker sviluppino nuovi metodi per falsificare non solo le impronte digitali ma anche altri tratti biometrici usati per i dispositivi mobili, come il riconoscimento facciale, dell’iride e della voce”.
