Il crack accademico del sensore di impronte digitali

Il team della Michigan State University capitanato dal professore Anil Jain è riuscito nell'impresa di recuperare i dati dal telefono di una vittima di omicidio aggirando il lettore biometrico del suo Samsung Galaxy S6

Roma - Anil K. Jain, professore del dipartimento di informatica e ingegneria della Michigan State University, è riuscito, insieme al suo team, a eludere la sicurezza del lettore biometrico di un Samsung Galaxy S6 (non un iPhone come inizialmente indicato) appartenuto a una vittima di omicidio, riproducendo le impronte digitali del proprietario.

Il team ha effettuato un primo infruttuoso tentativo partendo da alcune scansioni risalenti a un precedente arresto della vittima e stampando in 2D e in 3D le repliche delle impronte. L'insuccesso era dovuto alla pessima qualità delle scansioni che presentavano spazi vuoti lasciati dalle imperfezioni presenti sulle dita.
Kai Cao, membro del team dell'MSU, ha così creato uno specifico algoritmo per riempire queste falle e migliorare la qualità delle impronte. Il secondo tentativo è andato in porto, riuscendo a riprodurre tutte e dieci le impronte, questa volta soltanto in 2D, per mezzo di un inchiostro a base di particelle metalliche in grado di simulare la conduttività elettrica della pelle umana.



"La ragione per cui abbiamo i lettori di impronte nei nostri telefoni è quella di migliorarne la sicurezza" ha dichiarato Jain, aggiungendo che "usiamo i nostri telefoni per eseguire pagamenti ed è importante che queste informazioni restino private. Il mio team non ha nessun interesse nel craccare i telefoni ma nella ricerca sulle tecnologie delle impronte digitali. Speriamo che questa nostra breccia motiverà gli sviluppatori di smartphone a creare misure di sicurezza avanzate."
Prima di rivolgersi a Jain, la polizia del Michigan si è rivolta a numerose realtà nell'ambito informatico, ricevendo sempre la stessa risposta: "questa tecnologia non può essere aggirata". Solo in un secondo momento Andrew Rathbun, il detective che si è occupato del caso, si è imbattuto in un articolo pubblicato dal professore Jain in collaborazione con Kai Cao sull'hacking dei lettori biometrici per mezzo di tradizionali stampanti 2D. Stava cercando su Internet un modo per aggirare la protezione del dispositivo e ha trovato chi coinvolgere nelle indagini.


Tutta la faccenda fa sorgere un importante quesito: i sensori biometrici sono veramente sicuri?
Oltre a quello appena descritto, infatti, esistono altri casi che rafforzano gli argomenti a sfavore di tali sistemi di sicurezza, non solo per questioni tecniche, come quello della crew di hacker che ha replicato le impronte del Ministro della Difesa tedesco (Ursula von der Leyen) partendo da alcune foto in alta risoluzione, ma anche etiche come nel caso di Paytsar Bkhchadzhyan. Senza dimenticare, infine, che il trapianto di impronte digitali, già da alcuni anno, sembrerebbe non essere più un'ipotesi così fantascientifica.

Pasquale De Rose
Notizie collegate
3 Commenti alla Notizia Il crack accademico del sensore di impronte digitali
Ordina
  • Non so gli altri dispositivi in commercio, ma il Samsung S7 richiede la password OLTRE alle impronte se il telefono è stato riavviato o se non ci si è loggati per 24 ore. Quindi è di fatto una sicurezza in più rispetto alla già ostica password, non in meno! Se poi non si utilizzano le classiche impronte del pollice ma di un dito meno comune la situazione si fa veramente complicata perchè dopo 5 tentativi il telefono si blocca per 30 secondi, poi per 60, ecc....
    -----------------------------------------------------------
    Modificato dall' autore il 07 settembre 2016 23.24
    -----------------------------------------------------------
  • ammesso che per i dati presenti nello smartphone di un comune mortale questo sistema di sicurezza possa essere considerato un buon compromesso, volendo estendere il discorso anche ad ambiti più "sensibili", a mio avviso, la questione non è quanto sia più o meno semplice riprodurre un impronta e ingannare il sensore ma piuttosto se sia corretto utilizzare una valore biometrico rilevato (impronte digitali, retina oculare, forma del viso, dna, ecc.) come una password.
    In linea di principio è più corretto considerare il valore biometrico come un sofisticato e comodo "identificativo utente" al quale andrebbe comunque affiancata una "password" (stringa di caratteri, One Time Password, certificato di firma digitale, ecc.).

    Ai valori biometrici manca almeno una caratteristica fondamentale per poter essere considerati "password": non sono rinnovabili.
    Se una comune password viene compromessa, il possessore può sempre modificarla (magari con una più complessa) ma se le mie impronte vengono compromesse ...

    Buona giornata.
    -----------------------------------------------------------
    Modificato dall' autore il 02 settembre 2016 09.52
    -----------------------------------------------------------
  • Grazie per info.. a quanto pare non è roba da tutti fare una cosa del genere, per fortuna di chi le usa... (dicevano che i sensori economici crollavano al semplice appannaggio del vetro con il respiro caldo che mette in evidenza le impronte lasciate ecc.. per fortuna questi non sono economici)

    Personalmente io lascio sprotetto il telefono perchè non contiene nessun dato di carte di credito in libertà (protette da programma che al terzo tentativo cancella tutto)e se lo perdo (speriamo mai più) mi possono chiamare e se la persona è onesta mi chiama per restituirlo (per fortuna è successo, grazie mille.. ho segnato anche se me lo restituisci ti do premio in denaro).

    Oh si, ho anche antifurto nascosto, ma il cell resta usabile senza problemi.
    non+autenticato