Un selfie. È bastato questo allo youtuber Mel Tajon per bypassare la protezione dello scanner del volto di Samsung Galaxy Note 8, l’ultimo smartphone top di gamma della società asiatica. Si tratta di un ulteriore dimostrazione di come i sempre più frequenti sistemi di autenticazione biometrica, tra cui anche i più tradizionali lettori d’impronte digitali, non siano ancora una difesa sicura.
Come è stato possibile? L’utente, durante una prova dello smartphone in uno dei negozi della sua città, ha prima impostato lo sblocco tramite lo scanner registrando i propri dati biometrici e in un secondo momento ha utilizzato una foto realizzata con un altro Galaxy Note 8 per eseguire lo sblocco.
Un episodio su cui Samsung non si è ancora espressa ma che è pronto a dare vita ad una vera e propria polemica considerato che si riesce ad ingannare il sistema anche con fotografie non proprio recenti come quelle reperibili dai profili dei social network come Facebook e Instagram.
Anche i lettori di impronte digitali non sono proprio il massimo della sicurezza. Vari ricercatori della New York University e della Michigan State University stanno inoltre lavorando al fine di creare delle Masterprint – cioè delle impronte digitali “jolly” – che possano sbloccare il 65% dei telefoni che supportano il lettore biometrico. Queste impronte digitali speciali vengono create usando parti delle impronte comuni in molte persone.
L’approccio si basa sul fatto che i lettori biometrici di smartphone e tablet non analizzano l’intera impronta, bensì soltanto una parte; ciò significa che a un attaccante basta poter replicare almeno una porzione dell’impronta e continuare a tentare entro il numero di tentativi oltre il quale il telefono richiede il codice numerico. Nel momento in cui un utente inserisce un’impronta, il telefono in realtà “fotografa” diverse parti di essa al fine di agevolare la rapidità della sua autenticazione.
Se pensate che gli utenti tipicamente aggiungo altre due o tre dita per poter accedere, è come se l’utente inserisse venti possibili password per accedere ma all’hacker bastasse indovinarne soltanto una per sbloccare il dispositivo. Al momento il metodo è in sviluppo e “non è ancora stato validato contro telefoni reali, un passo necessario” ma se si arrivasse ad avere anche un tasso inferiore (il 20-25% magari) sarebbe comunque un traguardo rilevante nella “lotta” della comunità di sicurezza contro i sistemi biometrici, ormai diffusi anche in dispositivi più economici dei top di gamma.