Avere un cellulare sicuro non è più soltanto un’opzione e i sistemi di conferma dell’identità sono sempre più precisi ed efficaci, ma nonostante l’impegno dei produttori, le impronte digitali sugli smartphone Android sarebbero a rischio. Lo hanno scoperto i ricercatori dell’università di Zhejiang, in Cina, che hanno battezzato “BrutePrint” l’attacco che espone il riconoscimento delle impronte digitali a vulnerabilità tramite la cosiddetta “forza bruta”: con questa espressione, in informatica, si fa riferimento a un metodo di verifica di tutte le soluzioni teoricamente possibili finché non viene trovata quella effettivamente corretta.
Il riconoscimento delle impronte digitali
È uno dei metodi di sblocco e di autorizzazione più affidabili esistenti su un cellulare, dal momento che sfrutta l’unicità delle impronte digitali dell’utente. Oltre alla possibilità di sbloccare lo schermo del dispositivo, l’autenticazione tramite impronte digitali si rende utile – se non fondamentale – nel confermare pagamenti e accessi a determinate app che trattano dati sensibili.
Come funziona l’attacco BrutePrint
L’attacco BrutePrint riuscirebbe comunque a bypassare il sistema di sicurezza basato sulle impronte digitali, sfruttandone l’enumerazione: si tratta della generazione di un gran numero di campioni di impronte digitali, che vengono poi associati al sensore del dispositivo finché non viene trovato il campione adatto. I ricercatori di Tencent, azienda di servizi tecnologici cinese, individuano i motivi principali della vulnerabilità che espone lo smartphone all’attacco BrutePrint: molti produttori di smartphone per esempio utilizzano algoritmi di riconoscimento delle impronte digitali ormai di uso comune, dunque insufficienti a proteggere i dati in maniera “ermetica”. A ciò si aggiunge una carenza propria di alcuni sensori che non sono in grado di determinare con precisione se un’impronta digitale fornita è reale o artificiale.
L’autore di un attacco BrutePrint si preoccuperà di ottenere un database di impronte digitali (per esempio da fonti accademiche come ricerche) e di assemblare una “piastra d’attacco”, i cui componenti possono essere facilmente acquistati a un costo complessivo di 15 dollari. Poi posizionerà la piastra sotto il “telefono bersaglio”, avviando una lunga serie di prove ed errori. Potenzialmente, tra i vari campioni testati, potrebbe risultare quello in grado di sbloccare il cellulare.
Come difendersi da BrutePrint (e non solo)
Il lavoro dei ricercatori cinesi evidenzia che l’attacco BrutePrint, essendo un’operazione da effettuare direttamente sul cellulare bersaglio, può comportare seri rischi in caso di furto dello smartphone ma non in altre circostanze. Di certo, smettere di utilizzare le impronte digitali come metodo di sblocco e autenticazione non sarebbe la soluzione giusta. La ricerca però mette in guardia i produttori e gli utenti Android, che sono sempre incoraggiati a installare ogni aggiornamento del sistema operativo e seguire le più efficaci pratiche di sicurezza come la protezione del cellulare tramite codici alfanumerici o la convalida della propria identità basata su più passaggi.
