Rubare l’impronta registrando la vibrazione delle dita: un rischio reale?

della Redazione

Un gruppo di ricercatori ha dimostrato che è possibile violare (anche se non sempre) i sistemi di sicurezza biometrica: le impronte digitali possono infatti essere ricreate sfruttando i suoni prodotti dal polpastrello quando scivola sul display di uno smartphone. E’ un problema anche per il nostro comparto? L’industria biometrica di sicurezza ha predisposto delle misure di difesa rispetto a tali violazioni?

Partiamo dalla ricerca: si è scoperto che le vibrazioni delle dita su una superficie sono legate alle caratteristiche uniche delle impronte digitali. Se lo smartphone registra il suono dei polpastrelli con il microfono interno e anche solo una delle App è compromessa, si può accedere al microfono; da lì ci pensa l’intelligenza artificiale ad analizzare i suoni e a ricostruire l’impronta digitale. Premesso che l’attacco, denominato PrintListener, ha comunque un tasso di successo relativamente basso (27,9% con impronte digitali parziali e 9,3% con impronte complete entro cinque tentativi con il massimo livello di sicurezza FAR pari allo 0,01%), può comunque creare qualche grattacapo. Oppure no? L’abbiamo chiesto ad un esperto.

Andrea Giacobazzi, CEO di Eter Biometric Technologies 

Un rischio contenuto

La prima impressione è che i rischi di un attacco del genere siano estremamente bassi, se non nulli: innanzitutto solitamente non si sfrega il dito sulle App in maniera così marcata da produrre rumore (qualcuno ha mai sentito i polpastrelli fare rumore?), quindi dubito sia rilevabile in maniera così fine da un microfono di uno smartphone, che è già soggetto a disturbi ambientali. 

In secondo luogo solitamente l’utente tocca l’App sullo schermo utilizzando una porzione estremamente ridotta di dito, tipicamente la punta, dove sono rilevabili un numero molto più basso di minutiae (i tratti distintivi dell’impronta digitale), che peraltro risultano poco rilevabili poiché la superficie del dito in quel punto è più curva. Inoltre, affinché l’attacco abbia successo, si dovrebbe utilizzare proprio lo stesso dito che è stato registrato nel sistema. 

Infine si indica una condizione di “massimo livello di sicurezza FAR (False Acceptance Rate) pari allo 0,01%”. Questo parametro indica la possibilità che un sistema biometrico autorizzi un accesso con un dato biometrico simile ma non corrispondente a quello registrato dall’utente, ossia che il sistema conceda l’accesso con un dato biometrico errato. Va però sottolineato che nei sistemi più performanti tale parametro non è pari allo 0,01% (che indica un livello di severità troppo lasco), ma può arrivare anche a 1/1.000.000, pari allo 0,0000001%1.

Misure di difesa 

Il comparto comunque ha già adottato misure di difesa rispetto a queste violazioni, che possono arrivare più agevolmente da un’impronta digitale rilevata da superfici su cui l’utente ha appoggiato il dito e magari lasciato una traccia dell’impronta o di parte di essa (tazzina di caffè, maniglia, vetro). Premesso che anche questo attacco risulta comunque complesso da sferrare, perché occorre arrivare sul posto appena l’impronta è stata appoggiata e poi rilevarla con tecniche poliziesche, costruendo infine un preciso calco e dito in silicone, le tecniche di difesa prevedono l’utilizzo di rilevazioni aggiuntive sul sensore biometrico, ad esempio la temperatura, che consentano di individuare dita false e di scartarle. Si chiamano tecniche antifalsificazione o Live Finger Detection LFD. Suprema (è il caso di Suprema di Eter Biometric Technologies) in materia vanta uno specifico brevetto che prevede l’analisi nello stesso sensore della rifrazione della luce sull’epidermide dell’utente: il sensore proietta una luce infrarossa contestualmente alla rilevazione dell’impronta digitale e misura la rifrazione di tale luce. Anche tale valore è univoco per ognuno di noi e benché non sia sufficientemente distintivo per riconoscere un’identità (come sono invece le impronte), è però assolutamente distintivo per quanto concerne il materiale che poggia sul sensore (silicone, pelle umana, gel etc).