Il blocco con impronta digitale del telefono può essere aggirato utilizzando impronte digitali stampate in 3D

I ricercatori del gruppo di cybersecurity Cisco Talos hanno dimostrato come sono riusciti a ingannare e aggirare i sistemi di autenticazione delle impronte digitali su telefoni, laptop e altri dispositivi utilizzando impronte digitali false create con tecnologia di stampa 3D e colla tessile.

Secondo i ricercatori, Paul Rascagneres e Vitor Ventura, le impronte digitali false stampate sono state testate su un’ampia gamma di dispositivi e sono riusciti a raggiungere una percentuale di successo di circa l’80% in media.

Ci sono tre principali tipi di sensori per impronte digitali: capacitivo, ottico e ultrasonico. Ognuno di questi sensori funziona in modo leggermente diverso a seconda del materiale e dei metodi di raccolta utilizzati nello stampo.

Il tipo più comune è il capacitivo, che utilizza la corrente elettrica naturale del corpo per leggere le impronte digitali, mentre i sensori ottici utilizzano la luce per scansionare e creare un’immagine di un dito. I sensori ultrasonici, il tipo più recente e frequentemente utilizzato per i sensori a schermo, utilizzano onde ultrasoniche per rimbalzare su un oggetto fisico, in questo caso, un dito; l’eco viene letto dal sensore per impronte digitali, il che rende il sensore ultrasonico il più facile da aggirare.

“I nostri test hanno dimostrato che — in media — abbiamo raggiunto una percentuale di successo di ~80 percento mentre utilizzavamo le impronte digitali false, dove i sensori sono stati aggirati almeno una volta. Raggiungere questa percentuale di successo è stato un lavoro difficile e noioso. Abbiamo trovato diversi ostacoli e limitazioni legate alla scala e alle proprietà fisiche dei materiali,” hanno spiegato Vitor Ventura e Paul Rascagneres di Talos nella loro analisi della ricerca.

“Tuttavia, questo livello di percentuale di successo significa che abbiamo una probabilità molto alta di sbloccare uno qualsiasi dei dispositivi testati prima che torni all’unlocking tramite pin. I risultati mostrano che le impronte digitali sono sufficientemente buone per proteggere la privacy della persona media se perde il proprio telefono. Tuttavia, una persona che è probabile che venga presa di mira da un attore ben finanziato e motivato non dovrebbe utilizzare l’autenticazione tramite impronta digitale.”

I ricercatori hanno utilizzato una stampante 3D per creare stampi e li hanno curati in una camera UV. Hanno utilizzato gli stampi per creare impronte digitali false e poi le hanno colate su materiali che includevano silicone e colla per tessuti.

“Durante i nostri test, è diventato chiaro che il materiale utilizzato è un fattore determinante a seconda del tipo di sensore, specialmente quando si confrontano i sensori sonici con quelli capacitivi. Per aumentare la nostra percentuale di successo, abbiamo utilizzato silicone e diversi tipi di colla, mescolati con polvere conduttiva (grafite e alluminio),” hanno detto.

I ricercatori avevano un budget di $2.000 e 13 smartphone, laptop e altri dispositivi per il processo di test. Per iniziare il processo di test, i ricercatori hanno utilizzato le impronte digitali pubblicamente disponibili del noto gangster Al Capone come esempio. I dispositivi mobili si sono rivelati i migliori obiettivi, poiché la maggior parte delle persone utilizza comunemente i sensori per impronte digitali sui propri dispositivi.

“Questi dispositivi sono stati anche gli obiettivi di alcune delle prime ricerche sull’autenticazione tramite impronta digitale, il che dovrebbe conferire a questa piattaforma maggiore maturità nella tecnologia. Tuttavia, i risultati mostrano che l’autenticazione tramite impronta digitale dei telefoni cellulari si è indebolita rispetto a quando è stata violata per la prima volta nel 2013,” hanno detto.

Le impronte digitali false sono state testate con successo dai ricercatori su iPhone 8, Samsung S10, Huawei P30 Lite, MacBook Pro 2018, iPad 5a Gen, Samsung Note 9, Honor 7X e un AICase Padlock. Tuttavia, non sono riusciti ad accedere al telefono Samsung A70, al Lexar Jumpdrive Fingerprint F35 o alla pen drive USB crittografata Verbatim Fingerprint Secure.

I ricercatori hanno concluso che l’autenticazione tramite impronta digitale è adeguata per la maggior parte della popolazione considerando che il processo per aggirarla è molto complesso, dispendioso in termini di tempo e costoso per una persona comune da realizzare.

“Per un utente normale dell’autenticazione tramite impronta digitale, i vantaggi sono evidenti e dovrebbe essere utilizzata. Tuttavia, se l’utente è di profilo più elevato o il proprio dispositivo contiene informazioni sensibili, raccomandiamo di fare maggior affidamento su password forti e autenticazione a due fattori con token,” hanno scritto.