Sicurezza informatica: perché biometria e smartphone non possono andare d’accordo

Il 2017 è stato l’anno dell’innovazione in fatto di sicurezza smartphone: Samsung Galaxy S8 e il suo scanner dell’iride, iPhone X e il suo abbandono del Touch ID per lasciare spazio al nuovo Face ID e i sensori per le impronte digitali ormai parte dell’ordinario per quanto concerne tutti gli altri produttori. Ma si può davvero parlare di sicurezza? La risposta è no. Se non riuscite a spiegarvene le ragioni, a seguito proveremo a far luce sulla faccenda.

Riconoscimento facciale e impronte digitali: sì, ma la sicurezza dov’è? 

Seppur le password siano viste come uno dei sistemi di sicurezza più fragili, sotto alcuni punti di vista, è pur vero che una volta violate possono essere sostituite e, con l’utilizzo di una password particolarmente complessa e di molta attenzione, è possibile addirittura evitare il problema alla radice. Per quanto concerne i nuovi sistemi precedentemente citati, invece, c’è un piccolo (se così si può definire) intoppo: abbiamo 5 impronte digitali per mano e una sola faccia. E una volta violate queste, come pensiamo di sostituirle?

Sicurezza Smartphone

Questo soprattutto alla luce del fatto che perfino i più moderni sistemi di riconoscimento del volto sono facilmente raggirabili. Basti vedere come, in meno di una settimana dal lancio e con meno di 150 dollari, alcuni ricercatori di un’azienda di cybersecurity siano riusciti a creare una maschera capace di ingannare il Face ID di Apple, o come un ragazzino di 10 anni abbia sbloccato senza problemi l’iPhone X della madre a causa della grande somiglianza con quest’ultima.

Senza nemmeno volerlo, anche un familiare o un gemello potrebbe benissimo avere accesso al nostro device: è quindi chiaro come il Face ID non possa essere definito sicuro. La cosa si traduce ancor più in una barzelletta se pensiamo che fino a poco tempo fa bastava una semplice foto del malcapitato per trarre in inganno i sistemi di riconoscimento facciale degli smartphone.

Le nostre impronte digitali? Sono letteralmente ovunque

E per quanto riguarda le impronte digitali? Ebbene, il discorso è ancora più tragico. Lasciamo impronte letteralmente ovunque, ma non solo: basta una foto abbastanza dettagliata in cui sono chiaramente visibili le nostre dita per poter falsificare le nostre impronte. L’allarme è stato lanciato già nei primi mesi del 2017 da alcuni ricercatori giapponesi, che hanno avvertito come venendo fotografati replicando con la mano il simbolo della pace si possa incorrere in un furto di impronte digitali, che sono facilmente ricreabili letteralmente da chiunque e senza l’ausilio di tecnologie avanzate.

Sicurezza Smartphone
Le impronte digitali sono facilmente replicabili. Si può davvero parlare di sicurezza?

Ma non finisce qui, poiché una volta che le nostre impronte vengono scansionate dal sensore presente sullo smartphone, se non conservate in maniera adeguata, anche la rappresentazione digitale di queste ultime replicate sul device non è al sicuro e può mettere ad alto rischio la sicurezza dei nostri dati. Nonostante le impronte digitali siano uniche e non possano essere “indovinate” come delle semplici password, la loro sicurezza può essere facilmente compromessa, e non abbiamo molte altre con cui sostituirle.

I produttori stanno però cercando di mitigare il problema

Alla luce di ciò, è bene precisare che l’impegno dei produttori in tal senso continua comunque ad essere notevole. Prendiamo in esempio il Touch ID di Apple, che salva una rappresentazione matematica della nostra impronta digitale, al posto di scannerizzare e archiviare un’immagine della stessa, occupandosi successivamente di criptarla e custodirla sul dispositivo senza salvarla in cloud.

Da quel momento in poi, l’impronta diventa accessibile solo con una particolare chiave, a cui ha a sua volta accesso solo quello che Apple chiama Secure Enclave chip, un coprocessore ARM-based che ha lo scopo di incrementare la sicurezza offerta da iOS.

Sicurezza smartphone
Ecco brevemente schematizzato come funziona il Secure Enclave di Apple.

Su Android, la manipolazione dei dati relativi alle impronte digitali richiede una chiave specifica, situata nel Trusted Execution Environment (TEE) all’interno del processore del dispositivo, ossia una “enclave” sicura in cui memorizzare elementi digitali al di fuori della portata del sistema operativo e sottoposta a continue verifiche di sicurezza.

Sicurezza smartphone
Il sistema Trusted Execution Environment in breve.

Password: sistema di sıcurezza obsoleto? Assolutamente no

Nonostante gli sforzi dei produttori per mantenere al sicuro le nostre impronte digitali e gli altri nostri dati biometrici, come detto poco prima, lasciamo continuamente impronte digitali in ogni dove e, in un mondo ormai così smart, il nostro viso è facile da fotografare senza grossi problemi.

Sicurezza smartphone
Il sensore per le impronte digitali è ormai presente su ogni smartphone.

A questo punto pare evidente come, senza girarci troppo intorno, sia chiaro come il connubio smartphone e biometria racchiuda sin troppe falle. Ha più senso dunque utilizzare opzioni alternative per proteggere i propri dispositivi, escludendo anche PIN e swipe patterns, che possono essere anch’essi facilmente rivelati dal display poco oleofobici.

Pare proprio che, dopo anni di innovazione in termini di sicurezza, una password complessa (composta da numeri, simboli e lettere) e diversa per ogni device rimanga ad oggi il sistema più sicuro ed è lungi dal diventare obsoleto nel giro di qualche anno.