Galaxy S8, la nuova generazione di smartphone hi-end a cui Samsung ha assegnato la missione di rilancio del marchio dopo la debacle delle batterie esplosive dell’S7, offre un sistema di autenticazione basato su dati biometrici che non passa i test degli hacker del Chaos Computer Club (CCC). Basta poco, un’immagine e qualche centinaio di euro, per bucare un meccanismo che Samsung sta pubblicizzando come a prova di compromissione.
Il collettivo di hacker europei ha preso ancora una volta di mira la presunta sicurezza del riconoscimento biometrico, individuando nel Galaxy S8 un obiettivo piuttosto ghiotto, visto che si tratta del primo prodotto a offrire la possibilità di sbloccare un gadget mobile tramite la “lettura” delle caratteristiche individuali dell’iride.
Il risultato, neanche a dirlo, è imbarazzante per Samsung: gli hacker hanno scattato una fotografia dell’occhio del proprietario del cellulare-bersaglio, hanno stampato (per colmo dell’ironia) l’immagine con una laser-jet Samsung e poi hanno applicato una lente a contatto sulla stampa dell’iride : lo sblocco del terminale “super-sicuro” tramite il foglio così realizzato è avvenuto all’istante.
L’uso della modalità di scatto notturna della macchina fotografica o la rimozione dei filtri infrarossi possono aiutare a rendere lo sblocco ancora più efficace, dicono gli esperti del CCC. Nella peggiore delle ipotesi basterebbe scaricare una foto da Internet della vittima per bypassare il nuovo sistema di riconoscimento dei Galaxy next-gen.
Il collettivo di hacker del CCC ha da tempo intrapreso una vera e propria “missione” contro l’uso (anzi l’abuso) dei dati biometrici a scopo di autenticazione, e che si tratti di impronte digitali o di iride non ha fin qui sbagliato un colpo. La biometria sembra essere una pessima scelta per la sicurezza degli utenti , come i casi di questi anni hanno dimostrato . Per quanto riguarda Samsung e il Galaxy S8, infine, la corporation sudcoreana dice di aver sviluppato la tecnologia di riconoscimento dell’iride svolgendo “test rigorosi” e di essere pronta a chiudere una qualsiasi potenziale vulnerabilità individuata nel sistema.
Alfonso Maruccia