Retroscena
5869

Scanner di impronte digitali e dell'iride a rischio sicurezza

Dominik Bärlocher
27.1.2017
Traduzione: tradotto automaticamente

Gli scanner di impronte digitali sono il modo più veloce per sbloccare il telefono, ma non sono certo i più sicuri. Gli scanner dell'iride comportano un rischio ancora maggiore per la sicurezza. Qui ti spieghiamo il ruolo del tuo dito nella sicurezza, il punto di vista legale della Svizzera e perché il segno della pace può mettere a rischio la tua sicurezza.

Al giorno d'oggi, la tecnologia delle impronte digitali è il modo più diffuso per sbloccare gli smartphone. I dispositivi privi di tale scanner sembrano antiquati o tecnologicamente inferiori. Ma gli esperti nel campo della sicurezza informatica sono inorriditi quando pensano ai progressi dei dati biometrici come fattore di autenticazione. Il termine "dati biometrici come fattore di autenticazione" è comunque piuttosto inutile, perché nessuno lo capisce. Ecco cosa significa in realtà:

  • Dati biometrici: qualsiasi parte del tuo corpo che possa in qualche modo fornire dati univoci. Parliamo di impronte digitali, iride, onde cerebrali, immagini dentali, DNA, voce, ecc.
  • Fattore di autenticazione: qualcosa che usi per accedere a un'area o a un servizio protetto. Potrebbe essere una chiave, un PIN, un badge, una password, ecc.

In questo articolo parlerò dei dati biometrici delle impronte digitali e, occasionalmente, dell'iride. Il motivo per cui li menziono entrambi è che tutte le argomentazioni a favore e contro le impronte digitali possono, con un po' di riflessione, essere applicate anche all'iride.

La grande incertezza sulle impronte digitali

In TV e nei film è facile falsificare un'impronta digitale. Basta un po' di polvere e del nastro adesivo. A volte anche cera e cipria fanno il loro lavoro. Ma sicuramente nella vita reale non è così semplice, vero?

Esatto, perché hai sicuramente bisogno di un po' di tempo e di un negozio di bricolage (o semplicemente di un fidato Galaxus). L'hacker Jan Kirssler, alias Starbug del Chaos Computer Club, è l'esperto quando si tratta di falsificare le impronte digitali. In un particolare video dimostra come sfruttare il sensore biometrico di un iPhone con i mezzi più semplici.

Il problema non è solo che le impronte digitali sono relativamente facili da sfruttare. C'è anche il problema dell'analisi delle minacce. L'esperienza ha dimostrato che l'analisi delle minacce è un aspetto che molte aziende e utenti privati considerano di secondaria importanza. Spesso si parla di hacker russi e di hackeraggio da parte dello Stato cinese senza pensarci più di tanto. In termini quotidiani, è come dire: "Ma io non ho nulla da nascondere" o "Chi vuole le mie foto?". La maggior parte delle persone non ci pensa un attimo e non si sofferma a considerare cosa potrebbe essere danneggiato se venisse hackerato.

In sostanza, un'analisi delle minacce è la risposta ben studiata alla domanda "Cosa succede se una misura di sicurezza fallisce?". Ad esempio, cosa succede se un'impronta digitale viene falsificata? Seguono a ruota domande come "Cosa succede se tutte le mie foto su iCloud o su Google Drive vengono rese pubbliche?". Vuoi davvero dire che non sarebbe imbarazzante? Una mia collega ha recentemente raccontato di quando aveva delle foto di se stessa nuda su Google Drive. Erano destinate solo al suo ragazzo, ma Google è stato così gentile da copiarle nel suo Drive tramite Applicazione Foto.

La tecnologia delle impronte digitali permette a chiunque di accedere a quei selfie nudi sul tuo iPhone. È una cosa che vuoi? "Decisamente no!", ha esclamato il mio collega. Ecco fatto. Analisi della minaccia. "Beh, io non mi preoccuperei troppo se venissero pubblicate foto di me in biancheria intima. Perché erano già state messe in scena e tutto il resto. Ma le foto che ho scattato per aiutarmi con la mia dieta... sarebbero imbarazzanti", ha aggiunto.

La buona notizia è che il problema "in the buff" della mia collega può essere facilmente risolto.

  • Retroscena

    Dopo l'hack di Dropbox: il cloud a casa tua

    di Dominik Bärlocher

Ora che sappiamo che è possibile falsificare un'impronta digitale con la colla di legno e che abbiamo pensato a dove e come è possibile accedervi e da chi, siamo pronti per il passo successivo.

Hai solo un numero limitato di dita

Una password è un oggetto dinamico. Ciò significa che puoi cambiarla ogni volta che ne hai bisogno. Non importa se come password hai 123456, yA3XKdpa o CorrectBatteryStapleHorse. L'importante è che tu possa cambiarla ogni volta che vuoi. Puoi cambiare la strategia della password o anche la lunghezza, i numeri e i segni di punteggiatura. Ci vogliono solo pochi secondi.

Non è la stessa storia quando si tratta delle impronte digitali. Hai solo 10 impronte digitali, che devono durare tutta la vita. Tieni presente che normalmente non cambiano. Immagina che le tue impronte digitali vengano rubate: avresti sempre un problema di sicurezza. Se l'aggressore dovesse fare lo sforzo di rubare tutte le tue impronte digitali, allora questo metodo di autenticazione sarebbe finito per te.

Se vuoi ancora usare un sensore tattile, stai chiedendo soluzioni esoteriche. Hai 10 dita dei piedi che potresti ancora scansionare e hai due occhi per lo scanner dell'iride. Su una nota meno seria, gli uomini hanno un'altra opzione. Signore, temo che questa non sia aperta a voi.

Quello che è iniziato come uno scherzo ha portato alla ricerca e l'utente Reddit ha testato diverse parti del corpo.

  • L'alluce funziona molto bene.
  • Il gomito non poteva essere registrato. Ha iniziato bene, ma poi il sensore non ha voluto saperne di stare al gioco.
  • La lingua non funzionava, a prescindere da quanto fosse bagnata.
  • Il testicolo sinistro poteva essere registrato, ma c'erano problemi quando si trattava di usarlo per sbloccare il dispositivo.
  • Entrambi i capezzoli funzionavano, anche se solo uno era registrato sul dispositivo.

C'è di peggio: un hacker non ha nemmeno più bisogno del tuo telefono

Nel video qui sopra, gli aggressori hanno bisogno di avere il tuo smartphone. Che lo rubino o lo prendano brevemente in prestito non ha alcuna importanza, come dimostra il nuovo attacco dell'hacker Starbug. Egli è in grado di catturare i dati delle impronte digitali da una foto decente ad alta definizione e poi di ricrearli utilizzando la tecnologia mostrata qui sopra.

Questo è ciò che ha fatto due anni fa. Il Japan Times ha recentemente rivelato che esistono nuovi e sconvolgenti modi di catturare i dati biometrici. I ricercatori del National Institute of Informatics (NII) del Giappone sono riusciti a ricreare le impronte digitali in laboratorio. Sono riusciti a catturare i dati a tre metri di distanza dall'obiettivo. Per contestualizzare il tutto, Starbug ha utilizzato una fotografia del Ministro della Difesa tedesco Ursula von der Leyen presa da Internet e ha acquistato i suoi strumenti in un negozio di bricolage. La sua ricerca ha dimostrato che poteva catturare i dati delle impronte digitali per l'autenticazione da una distanza di sette metri.

Tuttavia, l'attenzione del Japan Times non si è concentrata sulle fotografie che possono essere utilizzate per estrarre le impronte digitali. Invece, questa è stata la chiave di lettura del loro articolo:

Ma NII afferma di aver sviluppato una pellicola trasparente contenente ossido di titanio che può essere attaccata alle dita per nascondere le loro impronte, si legge nel report.

Il rischio di essere fotografati dalle telecamere HD e di vedersi rubare le impronte digitali sembra essere così grande che il Giappone sta ora ricercando e scoprendo delle contromisure.

Cosa dice la legge in Svizzera

Per quanto riguarda la sicurezza, puoi essere costretto a sbloccare il tuo smartphone utilizzando la tecnologia delle impronte digitali, ma non devi divulgare una password. Tanto per dire ;).

Questo è il commento che l'utente bluefisch200 ha lasciato in risposta al mio articolo su Speed tuning per Android. Quando ho chiesto una fonte, bluefisch200 mi ha inviato un link alla rivista online Mashable, che riportava che un giudice americano è stato il primo a pronunciarsi legalmente sulla classificazione e differenziazione delle impronte digitali:

  • Password, PIN e campioni sono conoscenze e quindi protetti dal Quinto Emendamento negli Stati Uniti.
  • Le impronte digitali sono prove come il DNA o una chiave fisica, che i cittadini possono essere costretti a consegnare.

Bluefisch200 ha concluso che lo stesso vale per la Svizzera.

"Non è questo il caso", afferma Martin Steiger, avvocato presso uno studio legale di Zurigo, specializzato in cause digitali. Ha trovato affascinante il precedente degli Stati Uniti, ma ha spiegato che non si applica direttamente alla legge svizzera. Ciò significa che il precedente statunitense non può essere automaticamente utilizzato in casi simili in Svizzera.

Al contrario: "Nessuno è obbligato a sbloccare il proprio telefono se gli viene chiesto, sia con una password che con la tecnologia delle impronte digitali", afferma Steiger. Anche un mandato di perquisizione potrebbe essere contestato. Tuttavia, Steiger non è ancora a conoscenza di casi di impronte digitali in Svizzera. Presume che le forze dell'ordine del paese abbiano già preso in considerazione questa possibilità. Spiegando ulteriormente, dice che se la polizia cattura un telefono sbloccato "volontariamente", le prove non possono necessariamente essere utilizzate in tribunale.

La situazione è simile quando si tratta di rilevare le impronte digitali. La polizia è autorizzata a rilevare le tue impronte digitali, ma tu puoi rifiutarti. Con la relativa decisione, l'ufficio del pubblico ministero può in seguito richiedere le tue impronte digitali come misura coercitiva. Tuttavia, secondo Steiger, anche se la polizia è riuscita a rilevare le impronte digitali, non è autorizzata a usarle per sbloccare un telefono. Questo è il massimo che il metodo di Starbug può fare. Tuttavia, lo stato di diritto in Svizzera adotta spesso un approccio del tipo "il fine giustifica i mezzi". Per questo motivo non mi stupirei se la legge permettesse l'uso di un dito finto per sbloccare i dispositivi", afferma Steiger.

Ma l'avvocato avverte che "La polizia spesso chiede agli imputati password e PIN durante il primo contatto. Oppure, in un secondo momento, può chiedere loro di sbloccare il telefono utilizzando la tecnologia delle impronte digitali." Ma non è necessario rispondere a queste domande. In caso di dubbio, i difensori dovrebbero almeno rifiutare di fornire informazioni e non sbloccare il telefono. Steiger spiega che non è necessario fornire una motivazione, poiché in uno stato di diritto si applica la massima "Nessuno può essere obbligato ad accusare se stesso".

Potresti trovare interessante questo:

  • Retroscena

    Allarme sicurezza: Meitu - l'app che catapulta i tuoi dati personali in Cina

    di Dominik Bärlocher

A 58 persone piace questo articolo

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.

Smartphone
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.

69 commenti

Avatar
later