I ricercatori di FireEye Tao Wei e Yulong Zhang sono intervenuti alla conferenza Black Hat di Las Vegas per lanciare l’allarme sui pericoli connessi all’uso di lettori di impronte digitali sui gadget mobile, una tecnologia che, nel caso dei terminali Android, presta il fianco a rischi concreti di compromissione dei dati biometrici.
Diversamente dalle password testuali, dicono infatti i ricercatori, le impronte e gli altri tratti biometrici durano letteralmente una vita: perderli, o peggio farli finire nelle mani di cyber-criminali e malintenzionati, equivale a condannarsi all’insicurezza perenne.
Il modo in cui la lettura delle impronte viene oggi gestita su Android, avvertono gli analisti, è tutto fuorché ideale e potrebbe facilitare la raccolta “su larga scala” delle impronte digitali da parte dei suddetti cyber-criminali.
In particolare, i ricercatori hanno identificato alcuni attacchi con cui acquisire di nascosto l’immagine di un’impronta su uno smartphone con sensore non completamente “bloccato” (HTC One Max, Samsung Galaxy S5), sfruttare i privilegi di accesso “system” (invece del più sicuro livello “root”) per compromettere il sensore sui dispositivi sbloccati e fare una raccolta diretta di dati biometrici a flusso continuo.
Prima di presentare il loro lavoro a Las Vegas, gli esperti di FireEye avevano già avvertito le corporation coinvolte per permettere la realizzazione e la distribuzione di apposite patch correttive. Per i terminali non aggiornati, invece, il rischio connesso all’uso delle impronte digitali – un rischio evidenziato da anni da gruppi come il CCC – crescerà con il crescere della disponibilità di smartphone dotati di apposito sensore. Per quanto riguarda i gadget iOS, infine, i problemi evidenziati su Android non pongono rischi grazie all’uso della crittografia.
Alfonso Maruccia
Ti potrebbe interessare
7 ago 2015