Sensori per il riconoscimento delle impronte digitali: sono sicuri?

I vendor sostengono che il sensore per le impronte digitali in dotazione già nella maggior parte dei moderni smartphone sia user-friendly e sicuro. Scopriamo insieme perché non è così!

Quasi tutti gli ultimi modelli di smartphone includono lo scanner per le impronte digitali. I vendor sostengono che i sensori biometrici possano migliorare sia l’esperienza utente che la sicurezza dei dispositivi mobili. Hanno ragione?

Non esattamente. Per iniziare, questi sensori non sono perfetti. Gli scanner spesso non riconoscono le impronte digitali se le dita sono umide e in ogni caso non sempre funzionano al primo tentativo. Quindi se avete le mani sudate, come spesso accade in estate, lo smartphone potrebbe non riconoscerle. Cicatrici, graffi, bruciature o altre lesioni cutanee potrebbero diminuire la qualità del riconoscimento. Inoltre, molti sensori non riescono a distinguere un dito reale da uno finto, e questo rappresenta un serio problema di sicurezza.

Alcuni di questi problemi possono essere risolti se Qualcomm lancerà il sensore ultrasonico, che usa appunto gli ultrasuoni per scannerizzare l’immagine 3D del dito. In questo caso il telefono non verrà ingannato da un dito finto. Inoltre, il nuovo sensore ultrasonico funziona persino se il vostro dito è sporco o umido. Ma esistono comunque altre minacce.

Le nuove tecnologie sono sempre vulnerabili proprio perché sono nuove. Il solo fatto di aver inventato qualcosa di nuovo e utile non basta: bisogna fare in modo che l’invenzione sia sicura e non tutti i vendor lo fanno, e anche quando tengono in considerazione la sicurezza, di certo non lo fanno dalla versione uno. Nell’agosto del 2015 è stato scoperto un nuovo modo per “rubare” le impronte digitali, in remoto e su ampia scala.

I ricercatori di sicurezza hanno scoperto che gli smartphone HTC One Max e Samsung Galaxy S5 hanno immagazzinato immagini di impronte digitali in modo non criptato e leggibile per qualsiasi app, e con estensione .bmp (ovvero, proprio come una comune immagine bitmap). Qualsiasi software che abbia accesso alle foto dell’utente e a Internet potrebbe rubarle. Gli sviluppatori hanno prodotto una patch non appena hanno scoperto il problema, ma chi ci garantisce che non commetteranno lo stesso errore con i nuovi telefoni e sistemi operativi?

Inoltre, molti smartphone sono dotati di sensori poco protetti, il che permette ai malware di ottenere le foto delle impronte dallo scanner. La cosa interessante è che gli smartphone Apple si sono rivelati piuttosto sicuri, dato i dati elaborati dallo scanner vengono criptati.

Alcuni vendor (per esempio, Huawei) usano la tecnologia ARM TrustZone per proteggere i dati sui loro dispositivi. Questa tecnologia lavora sulle immagini delle impronte digitali ad un “livello virtuale” specifico, confinandoli in una “zona” che non è accessibile dal principale sistema operativo. Di conseguenza i dati cruciali (così come l’impronta digitale) non possono essere rubati e usata da app terze. Sfortunatamente, in base al modello d’implementazione, questa tecnologia può con contenere falle.

Quando vi dicono che l’impronta digitale non è una password e che i proprietari non possono condividerla con altre persone, dimenticarla o mostrarla ad altri, non gli credete! Quest’anno alcuni ricercatori hanno dimostrato quanto possa essere facile rubare un’impronta digitale. Una videocamera SLR con un buon zoom o persino la foto di una rivista stampata in alta risoluzione possono essere sufficienti. Ad ogni modo lo stesso metodo può essere utilizzato per falsificare e simulare l’iride.

Quando la vostra password viene rubata, la potete cambiare in pochi minuti, ma nel caso dell’impronta digitale dovrete vivere con essa per il resto della vostra vita. Che fare quindi se vengono rubate? Ecco perché non dovreste mai credete alle promesse pubblicitarie delle case produttrici. Se avete uno smartphone che include di fabbrica un sensore per le impronte digitali, vi raccomandiamo di seguire questi semplici consigli:

#Scanner per le #ImpronteDigitali: è sicuro o è vulnerabile?

1. Nonostante le promesse dei vendor, non usate lo scanner dell’impronta digitale per autenticarvi su PayPal e altri servizi bancari o di pagamento: non è sicuro. Ora il telefono è nelle vostre mani; domani, in caso di furto, si troverà nelle mani del ladro. Questi potrebbe facilmente copiare la vostra impronta digitale utilizzando le impronte lasciate sul telefono e usarla, per esempio, per comprare qualcosa. Compromettere le password è più difficile, ma solo se usate nel modo corretto.

2. Normalmente le persone scelgono il dito indice o il pollice come login biometrico. È una scelta comoda, ma non la più corretta perché queste sono le dita che usiamo di più quando tocchiamo il telefono. Ecco perché probabilmente è più facile trovare sul telefono qualche traccia delle impronte di queste dita, creare una impronta fasulla e violare le misure protettive (esistono molte guide su Internet per imparare a farlo). Quindi, è meglio usare l’anulare e il mignolo della mano sinistra (per chi scrive con la destra), o le rispettive dita per i mancini.

3. Lo scanner per l’impronta digitale non è una misura sufficiente per proteggere i tuoi dati personali. Se vi sta molto a cuore la privacy, prendete in considerazione l’idea di iniziare a usare un’app speciale. Per esempio, Kaspersky Internet Security for Android include varie funzionalità, come la funzione Anti-furto, e protegge i contatti e le informazioni personali. Queste funzionalità possono aiutare a tracciare un telefono rubato, cancellare in remoto tutti i dati da un dispositivo o cancellare la cronologia dei messaggi di testo e la lista di contatti da occhi indiscreti.

In linea generale lo scanner per le impronte digitali è una grande invenzione; senz’altro utile, ma anche pericolosa. Non affidatevi esclusivamente ad essa, usate le nuove tecnologie con precauzione e non smettete di utilizzare le password, l’autenticazione a due passaggi e le altre misure di sicurezza.

Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi