I ricercatori utilizzano stampanti 3D per ingannare lo scanner di impronte digitali del telefono
Gli scanner di impronte digitali sono un metodo conveniente per accedere ai tuoi telefoni e dispositivi, ma non sono sicuri. Se vuoi sicurezza, dovresti mantenere un PIN lungo o, meglio ancora, una password (se possibile). I ricercatori di Cisco Talos hanno sottolineato questo punto quando hanno fatto irruzione in diversi dispositivi utilizzando una stampante 3D in resina da $ 2.000, un software e una colla.
Ora il punto della ricerca non è suggerire che il tuo vicino potrebbe facilmente entrare nel tuo dispositivo con una stampante 3D standard e un po’ di polvere per impronte digitali. No, i ricercatori di Talos ammettono pienamente che quello che hanno fatto è un lavoro noioso e richiederebbe un budget nell’intorno di $ 2.000.
Ma, anche se non si tratta di una piccola quantità di denaro contante da "il tuo Joe medio" e delle conoscenze di Google, rientra nel regno di molti budget e capacità delle forze dell’ordine e delle agenzie governative.
Per testare la sicurezza dell’autenticazione delle impronte digitali nei tuoi dispositivi, il team di Talos ha deciso di mantenere il budget relativamente basso. Hanno quindi utilizzato tre metodi per raccogliere le impronte digitali. In primo luogo, hanno creato stampi usando la plastilina. In secondo luogo, hanno copiato digitalmente le impronte digitali da un sensore di impronte digitali, in particolare il tipo che potresti utilizzare quando vai alla dogana o entri in un’azienda. E in terzo luogo, hanno fotografato le impronte digitali su vetro spazzolato con polvere di magnesio (simile alla "spolverata per le impronte digitali).
Il primo metodo fungeva da controllo poiché avrebbe creato l’impronta digitale più accurata.
Hanno quindi utilizzato il software per combinare secondo necessità e migliorare i dati delle impronte digitali da sensori o immagini e li hanno esportati in un file di stampante 3D. Ciò ha permesso loro di stampare in 3D uno stampo in resina (che richiedeva una stampante specializzata con capacità UV) per creare impronte digitali. I ricercatori hanno tentato di stampare direttamente le impronte digitali in 3D, ma non è riuscito. Invece, gli stampi stampati in 3D combinati con la colla tessile hanno fatto il trucco.
Con le impronte digitali false a portata di mano, Talos ha scoperto che potrebbe sbloccare i dispositivi mobili l’80% delle volte. Hanno testato i dispositivi Apple, Samsung e Huawei e hanno riscontrato il successo con ogni dispositivo, indipendentemente dal tipo di sensore di impronte digitali utilizzato.
I laptop erano una storia diversa. Windows Hello non si è innamorato delle impronte digitali false, ma hanno ingannato gli Apple MacBook Pro. Allo stesso modo, le USB Verbatim e Lexar non si sono sbloccate per le impronte digitali false.
Tuttavia, l’alto tasso di successo sugli smartphone è indicativo. Ciò non significa che sia stato facile; secondo Talos, i margini di errore sono piccoli. Ad esempio, un’impronta digitale troppo grande o troppo piccola dell’1% non riuscirà a sbloccare i dispositivi. E, a causa del processo di polimerizzazione, ottenere un’impronta digitale falsa che funzionava spesso richiedeva più di 50 tentativi di muffa. Nel complesso, Talos ha descritto il processo come "difficile e noioso".
Ma la ricerca mostra che, per un’entità con tempo, pazienza e un budget a partire da $ 2.000, irrompere nel tuo telefono bloccato con le impronte digitali è del tutto fattibile. Se non prevedi un problema con tale conoscenza, funzionalità come TouchID offrono comunque molte comodità. Ma per la massima sicurezza, passa a un PIN.
Fonte: Talos