Impronte poco sicure

Impronta

Lo smartphone può essere sbloccato in modo semplicissimo con le impronte digitali, ma questo metodo presenta qualche rischio per la sicurezza

Qualche tempo fa un nostro lettore ci ha inviato un’email nella quale asseriva di aver fatto un’incredibile scoperta: il suo Huawei P10 poteva essere sbloccato non solo con la propria impronta digitale, ma anche con quella di un collega! La stessa cosa funzionava anche al contrario: lo Huawei P10 del collega poteva essere sbloccato anche con le impronte digitali del nostro lettore. Ma allora, i lettori di impronte di Huawei sono inefficaci?

Smartphone e sensori

In effetti, una breve ricerca su Internet porta alla luce un discreto numero di segnalazioni di funzionamenti “anomali” del lettore di impronte dello Huawei P10, e non solo. Quale potrebbe essere la ragione? La più importante è rappresentata dalle limitazioni tecniche proprie di molti smartphone e non solo dello Huawei: i lettori di impronte digitali installati sulla maggior parte degli smartphone, infatti, hanno dimensioni così piccole da non riuscire a catturare un’impronta completa, ma solo una parziale. Questo, però, non è affatto l’unico problema, come ha avuto modo di notare anche il nostro lettore.
I lettori di impronte devono avere una certa tolleranza al riconoscimento, affinché lo sblocco risulti comodo da eseguire nella vita di tutti i giorni. A seconda della pressione sul sensore e dell’angolo di incidenza del dito, si ottengono modelli delle impronte leggermente diversi. Il sensore, inoltre, deve tener conto anche di altri fattori, come la pulizia del dito, il suo stato attuale e la temperatura ambiente. Teoricamente dovrebbe essere possibile accedere allo smartphone non solo quando le dita sono pulite, ma anche quando sono umide, unte, fredde o bagnate. I produttori non rivelano quanto alta sia questa soglia di tolleranza, ma evidentemente, quella dello Huawei P10 dev’essere piuttosto alta.

La biometria può essere violata

I problemi del riconoscimento biometrico sono noti da tempo, tanto che i punti deboli di questa tecnologia vengono sfruttati da anni per bypassare la protezione utilizzando strumenti come calchi delle dita, dita artificiali o le cosiddette “master key”, costituite da molte parti di impronte di dita umane. I lettori ottici della precedente generazione erano facili da bypassare, mentre quelli capacitivi, presenti sugli smartphone attuali, sono solo poco più sicuri. Pare che anche i più moderni lettori ad ultrasuoni siano stati ingannati di recente utilizzando una stampa in 3D a partire dalla foto di un’impronta (Video: http://bit.ly/scannerS10).

Troppa fiducia nella tecnologia?

Sebbene i sensori moderni siano più difficili da imbrogliare e i nuovi smartphone siano molto più potenti che non in passato, non siamo ancora arrivati ad avere l’assoluta precisione nell’autenticazione delle impronte. Nonostante questo, molti hanno un’estrema fiducia in questa tecnologia: ad esempio, in uno studio realizzato in Germania dell’associazione di settore Bitkom nel febbraio 2019, nove intervistati su dieci hanno dichiarato di voler utilizzare l’impronta digitale anche per le transazioni di pagamento. Ancora più sorprendente il commento dell’associazione: “I metodi biometrici sono pratici e sicuri per gli utenti”. Pratici magari sì, ma sulla sicurezza non siamo molto d’accordo.

Qual è l’alternativa?

Meglio una gesture come protezione? Mica tanto: le gesture sono fin troppo facili da scoprire perché molti utenti usano schemi standard. Il buon vecchio codice PIN da almeno otto caratteri è scomodo, ma valido. I nuovi smartphone ora offrono anche il riconoscimento del volto, che non sarà la soluzione perfetta, ma è un’alternativa migliore e al contempo pratica.
La cosa più importante: qualsiasi cosa è meglio del non avere nessuna protezione.

MIGLIORIAMO LA PRECISIONE

Sebbene non aumentino la sicurezza, questi suggerimenti possono migliorare la precisione nel riconoscimento delle impronte da parte del lettore:
Selezione: le dita della mano con la quale si lavora sono quelle più utilizzate per sbloccare lo smartphone, ma anche quelle che creano più problemi di sporco o lesioni. Pertanto, utilizziamo anche un dito dell’altra mano, ad esempio per i destrorsi, anche un dito della mano sinistra.
Pulizia: puliamo l’area del sensore con un panno morbido prima dell’allenamento iniziale.
Variazioni: scansioniamo il dito in diverse condizioni: pelle fredda, calda, secca, umida (gonfia), poi salviamo le scansioni in profili diversi. Catturiamo anche un altro dito.
Graffi: facciamo attenzione a non graffiare o sporcare l’area delle impronte digitali e puliamola regolarmente. Possiamo anche coprirla con una pellicola protettiva.

Il Samsung Galaxy S10 utilizza il “3D Sonic Sensor”, un lettore che secondo il produttore Qualcomm è sicuro e in grado di riconoscere facilmente anche le dita sporche

BIOMETRIA E LETTORI IMPRONTE

Ogni essere umano ha caratteristiche biologiche uniche: fisiologiche (impronte digitali, viso, vene o occhi) e comportamentali (riflessi, reazioni): “Biometria” è la raccolta e la valutazione di tali caratteristiche. Durante la fase di apprendimento, il sensore rileva le caratteristiche biometriche dell’utente e il software di gestione digitalizza il tutto, memorizzando un modello in un database crittografato. Quando si accede, il sensore legge nuovamente i dati biometrici confrontandoli, tramite un software, con l’immagine memorizzata. Se i dati corrispondono, il telefono viene sbloccato. I lettori per impronte digitali rappresentano un compromesso tra comfort e sicurezza. Particolarmente rilevanti per gli smartphone sono tre metodi di riconoscimento sensibili alla pressione:
Vecchio: sensore ottico. Un chip CCD, come in una fotocamera digitale, produce un’immagine 2D delle linee (“Dermatoglifi” 1) dell’impronta digitale.
+ Veloce, economico
Impreciso, superficiale, facilmente ingannato dalle immagini 2D.
Comune: sensore capacitivo. Una matrice di minuscoli condensatori a semiconduttore 2 rileva le differenze elettrostatiche tra le nervature papillari in rilievo e le scanalature tra di esse.
+ Risoluzione elevata, maggior precisione, economico.
Novità: sensore ad ultrasuoni. Questa tecnologia utilizza gli ultrasuoni e l’eco riflesso dal dito per creare un modello 3D dello stesso.
+ Risoluzione elevata, precisione, nessuna interferenza, complesso da ingannare.
Attualmente disponibile solo sui telefoni di fascia alta.

Comuni sensori capacitivi misurano le differenze elettriche nell’impronta digitale

BIOMETRIA NEI TEST

Sempre più dispositivi utilizzano dati biometrici per l’identificazione e l’autenticazione: ci sono porte che si aprono leggendo le vene della mano, sui passaporti europei sono presenti le impronte digitali e in alcuni supermercati i clienti possono pagare con l’impronta del pollice.

I politici e l’industria sono convinti che la biometria sia sicura; noi, invece, siamo più scettici. Nei nostri laboratori, difatti, abbiamo regolarmente scoperto dei punti deboli nelle autenticazioni biometriche. Ad esempio, nel 2013 abbiamo testato il nuovo iPhone 5s di Apple, il primo smartphone ad utilizzare un sensore di impronte digitali. La domanda scottante fu: è sicuro? No, non lo era. Dopo solo un giorno, i nostri tester furono in grado di ingannare il suo sensore usando un’impronta artificiale creata con la cera di una candela!

Probabilmente anche per questo Apple ha detto addio ai sensori di impronte digitali. Dall’autunno del 2018 gli iPhone possono essere sbloccati utilizzando Face ID e il volto. Sull’iPhone X e sul Samsung Galaxy Note 9, i nostri tecnici non sono riusciti a bypassare il Face ID, ma su altri telefoni, come lo Huawei P20 Lite, ci siamo riusciti utilizzando una testa artificiale da 5.000 euro. Le nostre conclusioni? Gli smartphone economici utilizzano fotocamere troppo poco definite per il Face ID.

I ricercatori statunitensi della University of Michigan hanno scoperto che una copia delle impronte digitali può ingannare i sensori capacitivi. Il video (http://bit.ly/ditaartificiali) mostra delle “dita artificiali” in azione

Alla fine del 2018, i ricercatori hanno creato una “DeepMaster Prints” (http://bit.ly/deepmprint): una sorta di chiave biometrica ottenuta combinando le impronte contenute in un database di impronte digitali per superare in astuzia i sensori di impronte digitali