Alfonso Maruccia

Android e l'insicurezza dei lettori di impronte

Una coppia di ricercatori lancia l'allarme sulle scarse misure di sicurezza per i lettori biometrici dei gadget Android, un problema che da qui a pochi anni potrebbe assumere dimensioni notevoli. E iOS? E' più sicuro grazie alla cifratura

Roma - I ricercatori di FireEye Tao Wei e Yulong Zhang sono intervenuti alla conferenza Black Hat di Las Vegas per lanciare l'allarme sui pericoli connessi all'uso di lettori di impronte digitali sui gadget mobile, una tecnologia che, nel caso dei terminali Android, presta il fianco a rischi concreti di compromissione dei dati biometrici.

Diversamente dalle password testuali, dicono infatti i ricercatori, le impronte e gli altri tratti biometrici durano letteralmente una vita: perderli, o peggio farli finire nelle mani di cyber-criminali e malintenzionati, equivale a condannarsi all'insicurezza perenne.

Il modo in cui la lettura delle impronte viene oggi gestita su Android, avvertono gli analisti, è tutto fuorché ideale e potrebbe facilitare la raccolta "su larga scala" delle impronte digitali da parte dei suddetti cyber-criminali.
In particolare, i ricercatori hanno identificato alcuni attacchi con cui acquisire di nascosto l'immagine di un'impronta su uno smartphone con sensore non completamente "bloccato" (HTC One Max, Samsung Galaxy S5), sfruttare i privilegi di accesso "system" (invece del più sicuro livello "root") per compromettere il sensore sui dispositivi sbloccati e fare una raccolta diretta di dati biometrici a flusso continuo.

Prima di presentare il loro lavoro a Las Vegas, gli esperti di FireEye avevano già avvertito le corporation coinvolte per permettere la realizzazione e la distribuzione di apposite patch correttive. Per i terminali non aggiornati, invece, il rischio connesso all'uso delle impronte digitali - un rischio evidenziato da anni da gruppi come il CCC - crescerà con il crescere della disponibilità di smartphone dotati di apposito sensore. Per quanto riguarda i gadget iOS, infine, i problemi evidenziati su Android non pongono rischi grazie all'uso della crittografia.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSamsung, un'impronta rubata è per sempreGalaxy S5, con altri terminali Android, è affetto da una pericolosa vulnerabilità che presta il fianco alla compromissione dei dati letti dal sensore di impronte digitali integrato
  • SicurezzaCCC di nuovo contro le impronte digitaliIl più noto gruppo di hacker europeo dimostra ancora una volta la insicurezza delle tecnologie di protezione a base di tratti biometrici: basta qualche foto, un software gratuito e il gioco (anzi, il crack) è fatto
5 Commenti alla Notizia Android e l'insicurezza dei lettori di impronte
Ordina
  • Chi ha implementato in maniera così raffazzonata la gestione di dati sensibili e non modificabili è da impiccare. Mi tocca ammettere che Apple ha prevenuto il problema, studiando bene la faccenda, mentre l'unico obiettivo di Samsung e HTC era quello di poter dire: "Ce l'abbiamo anche noi!", fregandosene dei dettagli.
    Non è un gran bel periodo per Android, stanno iniziando a girare le cosiddette pure a me.
    Izio01
    4368
  • - Scritto da: Izio01
    > Chi ha implementato in maniera così raffazzonata
    > la gestione di dati sensibili e non modificabili
    > è da impiccare. Mi tocca ammettere che Apple ha
    > prevenuto il problema, studiando bene la
    > faccenda, mentre l'unico obiettivo di Samsung e
    > HTC era quello di poter dire: "Ce l'abbiamo anche
    > noi!", fregandosene dei dettagli.

    il che si traduce in un "as usual"...

    > Non è un gran bel periodo per Android, stanno
    > iniziando a girare le cosiddette pure a me.

    più che altro i nodi stanno venendo al pettine...
    non+autenticato
  • Oh, insomma! Se compri un samsung, già dovresti sapere che entro un anno o due non sarà più aggiornato, specie con le patch di sicurezza.
    Se vuoi gli aggiornamenti di Big G, compra un Nexus.
    E non basta, installa un antivirus testato e solido, perchè la diffusione dei dispositivi android permette un ampia libertà: sia agli utenti che ai criminali.
    E, per carità, non abilitare il download automatico dei media, su nessuna app di messaggistica, faresti il gioco dei ladri. Sarebbe come far entrare in casa qualsiasi persona che bussa alla porta.
    non+autenticato
  • Dopo un anno o due, visto che finisce la garanzia, puoi aggiornarlo quanto vuoi!
    Ad esempio? Il mio S3 mini uscito con la 4.1.2 adesso monta Lollipop 5.1.1 senza nessun problema. Non è nemmeno più lento di prima!

    Ma come al solito bisogna RTFM!
    non+autenticato
  • ma questo bug va oltre il concetto della sicurezza data dagli aggiornamenti...
    non+autenticato