3 Mar 2017

Dita e occhi all’MWC 2017

Notizie Sicurezza

Abbiamo parlato tanto dei sensori di rilevamento delle impronte digitali insicuri e di altre tecnologie biometriche. E ovviamente non siamo stati gli unici a farlo.

Sembra che questo gran polverone abbia fatto qualcosa di buono. Al Mobile World Congress (MWC) 2017 di Barcellona molti sviluppatori di sensori intelligenti hanno presentato dispositivi molto più sicuri di quanto ci aspettassimo.

Biometric technologies at MWC 2017

Evoluzione dei sensori di rilevamento delle impronte digitali

IDEX, un’azienda norvegese che fornisce sensori di rilevamento delle impronte digitali a LG e ad altre aziende, sostiene che la maggior parte dei suoi sviluppatori di smartphone partner consente l’accesso ai dati dei sensori di rilevamento delle impronte digitali solo in un contesto di sicurezza.

Ho parlato con diversi produttori di sensori di rilevamento delle impronte digitali all’MWC e utilizzano tutti un sistema completamente protetto per gestire dati del genere. All’inizio, i dati originali dei sensori di rilevamento delle impronte digitali sono criptati, il sistema rileva poi le creste cutanee caratteristiche di ognuno, cripta anche queste e le invia a una memoria protetta. Tutte queste operazioni avvengono in un ambiente d’esecuzione affidabile (un’area isolata a cui gli altri processi esterni non possono accedere).

Diversi produttori di sensori fanno ancora decidere alle aziende di gadget se vogliono utilizzare il meccanismo di protezione. In ogni caso i dati vengono sempre criptati in maniera sicura nel passaggio dal sensore al processore, ed è una cosa buona: in precedenza, la principale vulnerabilità delle tecnologie di lettura delle impronte digitali si trovava proprio qui.

CrucialTec, un produttore di sensori, ha deciso di produrre biometria ancora più… beh, biometria, aggiungendo i sensori del battito cardiaco agli scanner di impronte digitali. Si tratta di una misura di sicurezza: le copie delle dita stampate in 3D, le dita di gesso e anche le vere dita dei proprietari tagliate non funzioneranno. Stessa cosa vale per le singole copie delle creste cutanee delle dita realizzate con una comune stampante.

MWC 2017: bank card with fingerprint sensor

Questo sistema controlla le creste cutanee per confermare che siano simili ma non sblocca lo smartphone fino a quando non rileva un battito cardiaco corretto. Questo rappresenta un buon passo avanti nella sicurezza dell’autenticazione delle impronte digitali. I criminali con tante risorse troveranno senza alcun dubbio un modo per aggirare anche questa protezione (ad esempio, con una copia delle creste cutanee delle dita premute sullo scanner utilizzando il vero dito di una persona diversa) ma sarà molto più difficile.

Un’azienda cinese ha presentato un’applicazione insolita: uno scanner di impronte digitali costruito direttamente nello schermo dello smartphone. C’erano però un paio di limitazioni: in primo luogo, l’unico modello si trovava in Cina e quindi l’azienda non ha potuto mostrarlo. Inoltre, non sono completamente sicuri del fatto che gli utenti capiranno quale parte dello schermo si debba toccare per avere accesso (il sensore non è ben visibile)! L’anno scorso IDEX ha presentato un’idea simile, ma sembra che abbia continuato a rimanere solo un concetto teorico.

Ad ogni modo, gli sviluppatori affermano che i sensori di rilevamento delle impronte digitali non si limitano ai gadget: possono essere costruiti nelle serrature delle porte o nelle chiavi delle automobili. Diverse aziende offrono sensori flessibili e molto sottili che possono essere utilizzati come parte di una carta bancaria.

MWC 2017: door lock with fingerprint sensor

La tecnologia viene realizzata in diversi modi: ad esempio, IDEX offre un sistema che non richiede un’ulteriore alimentazione, mentre CrucialTec costruisce una batteria e un modello di schermo nella scheda per mostrare se l’utente è autorizzato o meno ad accedere. Il sensore di rilevamento delle impronte digitali può essere una buona alternativa ai codici PIN: è più facile da utilizzare e più difficile da aggirare (è molto facile scoprire il PIN quando una persona lo inserisce).

Un po’ più di biometria

Due anni fa, Qualcomm ha presentato SenseID (scanner di impronte digitali più sicuri e a ultrasuono). Questa volta, l’azienda ha offerto un altro metodo di autenticazione che effettua una scansione della vostra iride. Le iridi di ogni persona sono uniche; questo metodo di autenticazione è quindi abbastanza affidabile.

Il sistema di Qualcomm è nuovo, quindi per adesso vengono costruiti prototipi, ma funziona sorprendentemente bene: è veloce e non commette errori. Nel caso in cui vi stiate chiedendo perché questa tecnologia stia tardando ad arrivare sul mercato degli smartphone, il motivo è semplice: le precedenti telecamere impiegavano molto più tempo per accendersi e i processori di immagini erano meno potenti.

Ad ogni modo, il sistema di riconoscimento dell’iride di Qualcomm è in grado di distinguere una copia falsa di un’iride da un occhio vero. Nello stand di Qualcomm c’era una faccia in stampa 3D e il software non l’ha scambiata per quella vera. Per quel che ne so, il sistema prende in considerazione il fatto che gli occhi si muovono sempre un po’.

MWC 2017: fake face in Qualcomm booth

Bisogna notare che il sistema è in grado di riconoscere l’iride anche con occhiali da sole molto grandi e scuri. Sfortunatamente, Qualcomm si rifiuta di spiegare come ha ottenuto questo risultato. Dopo tutto, il riconoscimento dell’iride è molto più sicuro del sistema di riconoscimento facciale, ad esempio.

Ad ogni modo, presenta lo stesso problema che presentano anche tutte le altre tecnologie biometriche: dopo che i criminali trovano un modo per rubare e utilizzare i dati biometrici (e proveranno sicuramente a farlo se si diffondono i bancomat biometrici), gli utenti non potranno far nulla, dal momento che non possono cambiare il proprio volto, le proprie iridi o le proprie impronte digitali. I codici PIN e le password, invece, possono essere cambiate in pochi secondi.

Altri concetti interessanti dell’MWC 2017

Quest’anno, a Barcellona, abbiamo assistito a tante innovazioni interessanti relative alla sicurezza delle informazioni. Ad esempio, Qualcomm ha presentato una tecnologia di apprendimento automatico sui dispositivi. Questo vuol dire che i processori Snapdragon sono diventati così potenti che possono addestrare le reti neurali. Lo scorso anno Qualcomm ha fatto i primi passi in questa direzione, quando ha presentato una soluzione che cerca di riconoscere gli oggetti nelle immagini. Questa tecnologia è ora diventata un motore universale che è compatibile con molte strutture famose e che è stata consegnata agli sviluppatori.

Si tratta di un passo in avanti: l’apprendimento automatico sui dispositivi può fare in modo che gli utenti non debbano inviare dati al cloud e questo farà in modo che il concetto di privacy giunga a settori in cui questa è diventata ormai inimmaginabile, in quanto spesso l’apprendimento automatico ha bisogno delle tecnologie cloud (ad esempio, rinunciando ai nostri dati). Al momento è solo un motore, non è ancora una soluzione pronta per il consumatore.

Beh, una tecnologia già lo usa (una tecnologia sviluppata da, indovinate un po’, Qualcomm). Si chiama App Protect e consente l’applicazione degli algoritmi euristici per il rilevamento delle applicazioni pericolose a livello dell’hardware-software. Qualcomm considera pericolosa un’app se questa prova a fare qualcosa di nascosto (se memorizza la posizione degli utenti e le informazioni di contatto, se invia SMS o se fa cose del genere). App Protect aiuta a rilevare simili app e proibisce l’accesso ai dati sensibili. La tecnologia non è una soluzione pronta all’uso: deve essere integrata a un’app di sicurezza. Dopo tutto, il nostro Kaspersky Antivirus & Security per Android lo fa in maniera efficiente a livello del software.

L’MWC 2017 si è centrato molto più sulla sicurezza rispetto agli scorsi anni. Oggi, potrete vedere la parola “sicuro” in quasi tutti gli stand. Anche se le cose non sono davvero sicure, la scienza ottica mostra che gli sviluppatori stanno iniziando a preoccuparsi di più per la protezione.

Per quanto riguarda l’autenticazione biometrica, questa tecnologia potrebbe risolvere i tanti aspetti negativi che presenta adesso. Non diventerà mai completamente sicura (non esiste una cosa del genere). Ma ci si sta muovendo nella giusta direzione e questo ci rende molto felici.