della Redazione
Un gruppo di ricercatori ha dimostrato che è possibile violare (anche se non sempre) i sistemi di sicurezza biometrica: le impronte digitali possono infatti essere ricreate sfruttando i suoni prodotti dal polpastrello quando scivola sul display di uno smartphone. E’ un problema anche per il nostro comparto? L’industria biometrica di sicurezza ha predisposto delle misure di difesa rispetto a tali violazioni?
Partiamo dalla ricerca: si è scoperto che le vibrazioni delle dita su una superficie sono legate alle caratteristiche uniche delle impronte digitali. Se lo smartphone registra il suono dei polpastrelli con il microfono interno e anche solo una delle App è compromessa, si può accedere al microfono; da lì ci pensa l’intelligenza artificiale ad analizzare i suoni e a ricostruire l’impronta digitale. Premesso che l’attacco, denominato PrintListener, ha comunque un tasso di successo relativamente basso (27,9% con impronte digitali parziali e 9,3% con impronte complete entro cinque tentativi con il massimo livello di sicurezza FAR pari allo 0,01%), può comunque creare qualche grattacapo. Oppure no? L’abbiamo chiesto ad un esperto.
Andrea Giacobazzi, CEO di Eter Biometric Technologies
Un rischio contenuto
La prima impressione è che i rischi di un attacco del genere siano estremamente bassi, se non nulli: innanzitutto solitamente non si sfrega il dito sulle App in maniera così marcata da produrre rumore (qualcuno ha mai sentito i polpastrelli fare rumore?), quindi dubito sia rilevabile in maniera così fine da un microfono di uno smartphone, che è già soggetto a disturbi ambientali.
In secondo luogo solitamente l’utente tocca l’App sullo schermo utilizzando una porzione estremamente ridotta di dito, tipicamente la punta, dove sono rilevabili un numero molto più basso di minutiae (i tratti distintivi dell’impronta digitale), che peraltro risultano poco rilevabili poiché la superficie del dito in quel punto è più curva. Inoltre, affinché l’attacco abbia successo, si dovrebbe utilizzare proprio lo stesso dito che è stato registrato nel sistema.
Infine si indica una condizione di “massimo livello di sicurezza FAR (False Acceptance Rate) pari allo 0,01%”. Questo parametro indica la possibilità che un sistema biometrico autorizzi un accesso con un dato biometrico simile ma non corrispondente a quello registrato dall’utente, ossia che il sistema conceda l’accesso con un dato biometrico errato. Va però sottolineato che nei sistemi più performanti tale parametro non è pari allo 0,01% (che indica un livello di severità troppo lasco), ma può arrivare anche a 1/1.000.000, pari allo 0,0000001%1.
Misure di difesa
Il comparto comunque ha già adottato misure di difesa rispetto a queste violazioni, che possono arrivare più agevolmente da un’impronta digitale rilevata da superfici su cui l’utente ha appoggiato il dito e magari lasciato una traccia dell’impronta o di parte di essa (tazzina di caffè, maniglia, vetro). Premesso che anche questo attacco risulta comunque complesso da sferrare, perché occorre arrivare sul posto appena l’impronta è stata appoggiata e poi rilevarla con tecniche poliziesche, costruendo infine un preciso calco e dito in silicone, le tecniche di difesa prevedono l’utilizzo di rilevazioni aggiuntive sul sensore biometrico, ad esempio la temperatura, che consentano di individuare dita false e di scartarle. Si chiamano tecniche antifalsificazione o Live Finger Detection LFD. Suprema (è il caso di Suprema di Eter Biometric Technologies) in materia vanta uno specifico brevetto che prevede l’analisi nello stesso sensore della rifrazione della luce sull’epidermide dell’utente: il sensore proietta una luce infrarossa contestualmente alla rilevazione dell’impronta digitale e misura la rifrazione di tale luce. Anche tale valore è univoco per ognuno di noi e benché non sia sufficientemente distintivo per riconoscere un’identità (come sono invece le impronte), è però assolutamente distintivo per quanto concerne il materiale che poggia sul sensore (silicone, pelle umana, gel etc).
Corso Specialistico Videosorveglianza e Privacy: approccio pratico tra normativa, impatto privacy, intelligenza artificiale e cybersecurity
Due giornate, sede Allnet.Italia, Bologna
Smart City e Videosorveglianza Urbana integrata: un bene pubblico da preservare tra intelligenza artificiale, videosorveglianza, digitalizzazione, privacy e sicurezza informatica
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
Webinar6 maggio 2024
Webinar14 maggio 2024
Webinar21 maggio 2024
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia
Scenari, tecnologia e formazione sulla sicurezza in formato audio
Un'immersione a 360 gradi nella realtà dell'azienda