PrintListener: impronte digitali clonate con un suono
© Depositphotos"PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound" è il titolo di uno studio pubblicato da un team composto da esperti cinesi e statunitensi che hanno scoperto un problema di sicurezza nei lettori di impronte digitali degli smartphone. La stessa falla riguarda qualsiasi device sfrutti questo tipo di autenticazione biometrica.
Per capire la natura di questa vulnerabilità bisogna ricordare che quando le dita toccano un display producono un suono e quest'ultimo è in pratica un dato registrabile. Ad ogni impronta corrisponde un suono differente, e quindi univoco, ciò significa che sfruttando un determinato suono si potrebbe risalire all'impronta che lo ha generato.
Mic Check: Researchers reconstruct your #fingerprint by listening to you swipe.
An academic paper claims scrotes can steal your #biometrics.
It’s a bit of a worry. In #SBBlogwatch, we deregister our swiping fingers. At @TechstrongGroup’s @SecurityBlvd: https://t.co/rKmGSQrima
— Richi Jennings @[email protected] / @richi.bsky.social (@RiCHi) February 21, 2024
Per far ciò i ricercatori hanno utilizzato un'applicazione chiamata PrintListener, essa intecetta il suono sfruttando il microfono di un dispositivo terzo e poi effettua un confronto con le impronte memorizzate all'interno di un database. Una volta trovata la necessaria corrispondenza, è possibile sbloccare il device autenticandosi senza impronta.
L'efficacia di PrintListener è stata valutata tenendo conto di una metrica che prende il nome di FAR (False Acceptance Rate), essa misura la probabilità che un dispositivo venga violato tramite un'interpretazione errata dei dati biometrici. Nel caso della piattaforma, le impronte parziali violate sarebbero state quasi il 28%, più del 9% nel caso di quelle complete.
Il suono prodotto dalle dita che toccano uno schermo potrebbe essere intercettato facilmente quando si effettua una chiamata in vivavoce con applicazioni come WhatsApp. Per il momento non si ha notizia di azioni malevole basate su questo tipo di attacco ma la ricerca sottolinea ancora una volta che nella tecnologia la sicurezza al 100% non esiste.
