L’hacking delle impronte digitali è in realtà abbastanza facile-ed economico
Le persone nei film sono spesso veloci a ricorrere a segare la mano di qualcuno per superare uno scanner di impronte digitali. Un rapporto del team di Kraken Security Labs mostra che sarebbe molto più facile—e meno raccapricciante—ricreare l’impronta digitale di qualcuno usando un po ‘ di colla per legno pronta all’uso.
Kraken osserva che la sicurezza biometrica è diventata sempre più comune in quanto i produttori di smartphone, tablet e laptop hanno incorporato scanner di impronte digitali nei loro prodotti. Questi scanner offrono un modo conveniente per accedere a tali dispositivi senza inserire una password.
Il rapporto dice che uno scanner di impronte digitali può essere “violato” utilizzando un’immagine dell’impronta digitale del bersaglio, creando un negativo in Photoshop, stampando l’immagine risultante e poi mettendo un po ‘ di colla di legno sopra l’impronta digitale imitata in modo che possa essere utilizzata per ingannare molti scanner commerciali.
“Siamo stati in grado di eseguire questo noto attacco sulla maggior parte dei dispositivi che il nostro team aveva a disposizione per i test”, afferma Kraken nel suo rapporto sull’attacco. “Se questo fosse stato un vero attacco, avremmo avuto accesso a una vasta gamma di informazioni sensibili.”
Kraken non è l’unica società di sicurezza a rendersi conto che la colla può essere utilizzata per ingannare uno scanner di impronte digitali. Cisco Talos ha pubblicato un rapporto più approfondito nel mese di aprile 2020 che ha esplorato diversi modi-tra cui questo trucco colla—impronte digitali di qualcuno potrebbe essere falsificato da un utente malintenzionato.
“I nostri test hanno dimostrato che, in media, abbiamo raggiunto un tasso di successo dell’ 80% durante l’utilizzo delle impronte digitali false, in cui i sensori sono stati bypassati almeno una volta”, afferma Cisco Talos. “Raggiungere questo tasso di successo è stato un lavoro difficile e noioso. Abbiamo trovato diversi ostacoli e limitazioni relative al ridimensionamento e alle proprietà fisiche dei materiali. Anche così, questo livello di tasso di successo significa che abbiamo una probabilità molto alta di sbloccare uno qualsiasi dei dispositivi testati prima che ricada nello sblocco pin.”
Cisco Talos afferma che la maggior parte delle persone non deve preoccuparsi che qualcuno crei una copia della propria impronta digitale per accedere ai propri dispositivi, ma osserva che “una persona che rischia di essere presa di mira da un attore ben finanziato e motivato non dovrebbe utilizzare l’autenticazione delle impronte digitali.”
Kraken consiglia alle persone di ricordare che bypassare l’autenticazione basata sulle impronte digitali è relativamente semplice e, in base alla sua dimostrazione, più economico di quanto molti consumatori potrebbero aspettarsi. (Anche se tale ipotesi si basa su qualcuno che già possiede una stampante laser e Photoshop.)
“Dovrebbe essere chiaro ormai che, mentre la tua impronta digitale è unica per te, può ancora essere sfruttata con relativa facilità”, dice Kraken. “Nella migliore delle ipotesi, dovresti solo considerare di usarlo come autenticazione a secondo fattore (2FA).”