E così pensavi che non ti avrebbero mai fregato le impronte digitali?

Uno studio americano conferma la possibilità di hackeraggio dei propri dati personali registrati nel proprio smartphone. Complici i sensori in grado di leggere le impronte digitali sia sui dispositivi Android che iOS

Dopo anni passati sul divano a guardare tutte e quindici le stagioni di CSI–La scena del crimine in compagnia di tua madre, che dopo il primo quarto d’ora aveva già individuato il colpevole – dopotutto sono cresciute con gli intrighi amorosi delle soap anni ’70 -, ti eri convinto che le tue impronte digitali fossero uniche e irripetibili e avrebbero garantito la tua privacy fino alla fine dei tuoi giorni. E invece no. Nell’era della tecnologia avanzata tutto questo non vale più e non sarà sicuramente l’ultimo lettore Android di impronte digitali a tenere salvi i tuoi dati personali, qualunque cosa rappresentino.

A dare la spiacevole notizia è l’ultimo studio di un gruppo di ricercatori dell’Istituto di Ingegneria della New York University, che ha creato un’impronta digitale e l’ha battezzata col nome di “MasterPrint”. La nuova arrivata è in grado di far combaciare i suoi tratti con quelli di un insieme «compreso tra il 25 e il 65 per cento» di impronte digitali degli utenti esaminati. Questo esperimento ha fatto cadere il mito dell’assoluta attendibilità del nuovo sistema di sicurezza, tanto pubblicizzato dai produttori di smartphone. In particolare sono la piccola dimensione dello schermo e la differenza tra impronte digitali “intere” e “parziali” a rendere possibile l’aggiramento della protezione. Se le impronte intere, infatti, sfruttano le linee e i solchi tracciati sui polpastrelli della mano che identificano una persona, quelle parziali utilizzano solo alcuni punti. Ed è proprio a queste ultime che si affidano i sensori degli smartphone che “leggono” le impronte digitali. Il motivo è semplice: uno schermo di piccole dimensioni ha per forza di cose una minore quantità di sensori. Inoltre, se i sensori venissero applicati a uno schermo intero, potrebbero avere difficoltà nel riconoscere le impronte dell’utente, vuoi per uno sbaffo oppure per altri ostacoli come uno schermo umido e quindi non perfettamente aderente col proprio indice di riconoscimento.

Partendo da queste premesse, i ricercatori newyorchesi hanno per prima cosa analizzato le impronte digitali con dei tratti comuni, che potessero servire da MasterPrint (MP) per sbloccare gli altri smartphone. Così facendo sono riusciti a individuare una media di quasi un MP ogni 8 impronte parziali rispetto alla media di un MP ogni 800 impronte intere. Uno scarto considerevole che ha consentito ai ricercatori di confermare l’intuizione iniziale: l’impronta di riferimento ha avuto maggiore successo con quelle parziali e ha smentito la garanzia di sicurezza della propria privacy.

Un esperimento della New York University ha fatto cadere il mito dell’assoluta attendibilità del nuovo sistema di sicurezza, tanto pubblicizzato dai produttori di smartphone. La ragione sta tutta nel fatto che i telefoni si affidano a una lettura parziale delle impronte digitali, molto più facili da replicare di quelle intere

L’esperto del settore Andy Adler, in un’intervista rilasciata al New York Times, tiene a rassicurare i possessori di telefoni di ultima generazione che il problema «non è così preoccupante com’è stato presentato, ma resta comunque una brutta bestia». In effetti i malintenzionati dovrebbero avere accesso fisicamente a uno smartphone per poter realizzare un proprio MasterPrint e in tal caso sarebbero più le volte in cui fallirebbero che quelle in cui azzeccherebbero il colpo. Ma il problema si pone quando si tratta della stessa operazione perpetuata su lungo termine. In questo caso l’hacker che fosse riuscito a entrare in possesso di altri smartphone sarebbe in grado di utilizzare il proprio MasterPrint per accedere ai contenuti del dispositivo. Il leader del gruppo di ricercatori, Nasi Memon, afferma a questo proposito: «Dato che i sensori in grado di leggere le impronte digitali diventano sempre più piccoli, è assolutamente necessario che la risoluzione degli stessi venga sviluppata in modo da poter registrare elementi addizionali delle impronte».

Il vero problema, però, sono gli stessi utenti, inconsapevoli di danneggiare la propria privacy mentre si scattano un selfie con il “gesto della pace” di fronte a un monumento qualsiasi, la riva del mare o lo spritz del giovedì. Ebbene sì, anche in quel caso – come spiega uno studio dell’Istituto nazionale di informatica del Giappone – potreste incappare in qualche “monstrum del web” che non aspettava altro che screenshottare le vostre impronte digitali per appropriarsi dei vostri dati personali. Si dirà che le probabilità di riuscita sono molto basse perché servirebbe la giusta luminosità e distanza, oltre che un’ottima qualità della foto e così via. Ma un episodio simile si è già verificato due anni fa, quando un tedesco di nome Jan Krissler è riuscito a ricreare le impronte digitali del ministro della Difesa tedesco Ursula von der Leyen proprio grazie al reperimento di foto pubblicate online. Krissler, dimostrando un’ampia conoscenza delle nuove tecnologie, ha stampato in 3D il dito del ministro ed è riuscito in questo modo a sbloccare uno smartphone.

Il vero problema sono gli stessi utenti, inconsapevoli di danneggiare la propria privacy mentre si scattano un selfie con il “gesto della pace” di fronte a un monumento qualsiasi. C‘è chi è pronto a usare le foto per appropriarsi dei dati personali

Si torna quindi al caro vecchio Pin? Magari. Anche il tradizionale codice di sicurezza può essere vulnerabile ad altri sensori – i giroscopi, sensori di rotazione – targati dall’ingegneria avversaria iOS, attraverso cui è possibile scoprire il Pin di un dispositivo soltanto con un click. Come hanno confermato alcuni ricercatori dell’università di Newcastle, infatti, se gli hacker riescono a reperire questo tipo di sensori, possono rilevare impercettibili differenze nel modo in cui si clicca lo schermo dello smartphone per digitare il numero del Pin. Lo studio ha dimostrato che il codice è stato trovato nel 70% dei casi al primo colpo e nel 100% dei casi al quinto tentativo. Inutile menzionare, infine, la pericolosità dell’aprire app o siti internet maligni.

Esiste allora una soluzione per proteggere la propria privacy? Sebbene la tecnologia non garantisca la piena sicurezza personale, è possibile in una certa misura prevedere il colpo, come faceva vostra madre di fronte a CSI. Ovvero: evitate le app e i siti web poco raccomandabili, non date il permesso del trattamento dei vostri dati personali in modo sconsiderato, cambiate regolarmente la vostra password, seguite gli aggiornamenti dei vostri dispositivi.

X