Lettori di impronte digitali Apple, Samsung e Microsoft tratti in inganno usando stampe 3D

Gli esperti del team Cisco Talos pubblicano i risultati di uno studio durato mesi: la protezione offerta dai lettori di impronte digitali può essere superata, più o meno facilmente.

Gli esperti di Cisco Talos, team della multinazionale statunitense specializzata nelle soluzioni per il networking e la sicurezza (è di questi giorni la presentazione in Italia della nuova piattaforma Cisco SecureX: Sicurezza sempre più a rischio nell’era smart working: come proteggersi con Cisco SecureX e Umbrella) che si occupa di ricerca e threat intelligence, hanno pubblicato un bellissimo studio sulle modalità per il superamento delle difese poste in essere dai lettori di impronte digitali.

Oggi i lettori di impronte digitali sono ampiamente accettati come un’alternativa sicura alle password, ad esempio per lo sblocco dei dispositivi.
I ricercatori Talos, però, spiegano come questi meccanismi di protezione non possano essere adatti a tutti. Aggressori determinati e ben finanziati possono infatti essere in grado di superare le difese poste da un lettore di impronte digitali.

Con un investimento pari a circa 2.000 dollari e alcuni mesi di lavoro, i ricercatori di Cisco sono riusciti a trarre in inganno i dispositivi Apple, Samsung e Microsoft l’80% delle volte adoperando modelli di impronte digitali ricreati artificialmente con la stampa 3D.

L’impegno è stato tuttavia piuttosto gravoso: basti pensare che i ricercatori hanno dovuto realizzare oltre 50 stampi di impronte digitali prima che uno funzionasse davvero. Inoltre, per poter sferrare l’aggressione e accedere al contenuto di un dispositivo mobile altrui, è risultato indispensabile disporre di una copia dell’impronta digitale del soggetto che fosse sufficientemente “chiara” e “pulita”.

Paul Rascagneres e Vitor Ventura, ricercatori Talos, hanno osservato che hacker motivati – ad esempio finanziati da enti governativi – possono riuscire con una buona probabilità a sbloccare i device protetti con impronta digitale prima che scatti la protezione con la richiesta di inserimento del PIN (cosa che accade dopo un certo numero di tentativi di sblocco falliti).
I risultati dei nostri test dimostrano che l’impronta digitale è un buon strumento per proteggere i dati contenuti nello smartphone di un normale utente, ad esempio nel caso in cui esso venisse smarrito. I soggetti di elevato profilo che potrebbero essere presi di mira da aggressori ben finanziati, tuttavia, non dovrebbero usare l’impronta digitale come meccanismo di autenticazione“, si legge nel report Talos.

I dispositivi maggiormente vulnerabili (esposti ad attacchi che sfruttano modelli 3D delle impronte digitali) sono stati, secondo Talos, il lucchetto digitale AICase e gli smartphone Android Honor e Samsung Note 9 (100% di successo).
Oltre il 90% di successo si pongono invece terminali come Apple iPhone 8, Apple MacBook Pro 2018 e Samsung S10.

Secondo Talos, risultati migliori sono stati fatti registrare dai dispositivi Windows 10, molto probabilmente in forza dell’algoritmo di verifica delle impronte digitali implementato a livello di sistema operativo.

Ti consigliamo anche

Link copiato negli appunti