Cerca nel blog

2013/09/23

Apple, già scavalcato il sensore d’impronte

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Ecco come si scavalca TouchID di Apple:

1. Fotografare un'impronta digitale della vittima (da un bicchiere, per esempio).
2. Creare una copia dell'impronta usando metodi e materiali comunemente disponibili.
3. Appoggiare l'impronta falsa sul sensore.

Tutto qui. Non c'è niente di magico nel sensore d'impronte della Apple e il fatto che il sensore sia incastonato in un iCoso non lo esonera dalle regole di base della sicurezza informatica: avere come password una cosa che lasci in giro dappertutto e che non puoi cambiare è supremamente stupido.

È sempre stato così. La mia critica non è ad Apple: è all'introduzione strisciante di una sicurezza illusoria basata su un dato così personale e inalterabile come la biometria.

Per chi pensa che il procedimento delineato qui sopra sia troppo complicato, ricordo che è più semplice che craccare un PIN: non devo neanche avere a disposizione l'iCoso per svariati minuti e avere con me un PC appositamente attrezzato (comportamento sospetto in sé). Mi basta una buona fotocamera.

Oggi ti invito a bere una birra e fotografo la tua impronta; di sera creo il duplicato; l'indomani ti entro nell'iCoso semplicemente toccandolo mentre sei alla toilette. E scarico le tue foto, i tuoi contatti, i tuoi documenti, la tua mail, i tuoi messaggi.

Meglio ancora: ti faccio bere qualche birra in più, aspetto che ti addormenti sul divano e poi prendo il tuo telefonino e ci appoggio sopra il tuo dito.

Ah, e non dimentichiamo che per un inquirente può essere difficile obbligarti legalmente a rivelare il PIN del telefonino che contiene i dati che ti incriminerebbero, mentre ottenere una tua impronta è banale: in molti casi le autorità (e vari enti commerciali) le hanno già, come ricorda Sophos. Siete andati negli Stati Uniti? Ricordate quando avete dato l'impronta per entrare comodamente in palestra o in banca?

Certo, un sensore d'impronte è meglio di niente; ma un PIN è molto meglio di un'impronta. Prima di buttarci come i proverbiali (ma bufalini) lemming sulla biometria pensando che sia una soluzione magica sarebbe sensato capirne i limiti.

Nessun commento: