Cerca nel blog

2014/04/18

Samsung Galaxy S5, già scavalcato il lettore d’impronte digitali

Uno dei punti di forza del nuovo smartphone di Samsung, il Galaxy S5, almeno stando alla sua campagna pubblicitaria, è il suo sensore d'impronte digitali, che consente di fare a meno del PIN di blocco, come già fa Apple con l'iPhone 5S. Ma gli esperti sono già riusciti a scavalcare questa forma di protezione e non solo accedere al contenuto di un telefonino bloccato dall'impronta digitale (esattamente come con l'iPhone tempo addietro) ma anche avere accesso al conto Paypal protetto da questa funzione.

Il problema di fondo dell'uso delle impronte digitali come sistema di controllo degli accessi è che l'impronta digitale non è una password: al massimo è un identificativo d'utente. Infatti le password non si lasciano in giro dappertutto (gli esperti del Security Research Labs hanno sconfitto il Galaxy S5 usando proprio un'impronta raccolta e duplicata) e soprattutto si possono cambiare se vengono rubate. Cambiare le proprie impronte digitali è perlomeno disagevole.

Intendiamoci: in condizioni normali, un sensore d'impronte è sicuro grosso modo quanto un PIN a quattro cifre, nel senso che è un deterrente ragionevole e sufficiente a scoraggiare i ficcanaso occasionali, ma non sarà un ostacolo serio per un aggressore deciso. Mentre costringervi a rivelare un PIN memorizzato può richiedere un certo impegno, un'impronta digitale si ottiene facilmente: basta agguantare una vostra mano con la forza o aspettare che vi appisoliate. Ma questi sono scenari che normalmente, si spera, non capitano spesso.

24 commenti:

Itwings ha detto...

Ma se qualcuno ha preso il telefonino non ha bisogno di andare a rilevare l'impronta nei posti più strani. Bastano quelle rimaste sul telefonino stesso....

lufo88 ha detto...

Bonus: considerando che, ormai, tutti gli smartphone sono touch, beh, la chiave è presente varie volte sul telefonino stesso! :-D
Il sensore di impronte digitali è un EPIC FAIL per quel che mi riguarda.

Massimo Musante ha detto...

@lufo88
Effettvamente da un certo punto di vista è l'equivalente (involontario) del post-it attaccato sullo schermo

max cady ha detto...

Ciao a tutti
per Paolo : ho problemi a scaricare "Luna" nella versione gratuita pdf, dopo pochi secondi il download si stoppa e dice 'failed'
E' un problema tutto mio :) ? Si, non ho una connessione potentissima ma di norma scarico pdf, ebook etc
Me la provo un paio di volte ancora poi piango. Potresti eventualmente spedirne una copia oltremanica ? Sarai alla Sticcon quest'anno? Perche' un paio di anni fa mia sorella e suo marito presero Luna proprio a Bellaria [ sono due fanatici di Star Trek ], magari me ne faccio prendere una copia da loro. Ti ringrazio anticipatamente, sapendo che non hai sempre tutto questo tempo per rispondere, estendo il quesito all'utenza tutta

Stupidocane ha detto...

CSI colpisce ancora...

Ma credete davvero che sia così facile reperire impronte digitali? Anche da uno schermo touch? Ditate moltissime, questo è sicuro, ma impronte da poter usare... molto rare. Pensateci un po': di solito, quando usate il touch, ci stampate sopra tutto il polpastrello tenendolo ben fermo, oppure usate la punta del dito facendo gesture più o meno complicate? Provate.

Pulite ben bene lo schermo e poi giocate un po' con il telefono, consultate le mail, leggete il ilDisinformatico, una partita furiosa a Ruzzle. Fatto? Bene, ora mettete in stand-by, guardate lo schermo in controluce e contate le impronte complete che vedete.

:)

Stupidocane ha detto...

Il retro del telefono? Guarda caso ha una superficie porosa dove difficilmente si lasciano impronte. I lati? Troppo stretti per trovare un'impronta completa.

Puce72 ha detto...

Onestamente, non penso che sia così semplice (per un ladro comune o occasionale) reperire e riprodurre un'impronta; diverso il caso di un interesse specifico e mirato di qualcuno nei confronti del telefono ma a quel punto, se l'interesse è davvero forte, IMHO non c'è sistema che tenga, e spesso basta un po' di interazione sociale per carpire la password.
Piuttosto trovo più grave che (a differenza di quanto avviente sull'iPhone) non ci siano limiti di tentativi e ci sia la possibilità di accesso da parte di applicazioni di terze parti.

Paolo Attivissimo ha detto...

Stupidocane,

Ma credete davvero che sia così facile reperire impronte digitali?

Sì. Se sei mai stato negli Stati Uniti, so esattamente dove è possibile reperirne una copia molto buona :-)

Paolo Attivissimo ha detto...

Stupidocane,

Ma credete davvero che sia così facile reperire impronte digitali?

Certo. Considerato che le porti sempre penzoloni in giro con te...

Basta aspettare che t'appisoli.

Stupidocane ha detto...

Uhm, ruberesti il mio passaporto? Non capiscio...

lufo88 ha detto...

@stupidocane
Ok, poche, rare... ma ti pare sicura una porta con la chiave che raramente è nella toppa?

Paolo Attivissimo ha detto...

Stupidocane,

se vai negli USA, all'immigrazione solitamente ti raccolgono le impronte digitali. Per cui c'è in archivio una copia bell'e pronta.

Paolo Attivissimo ha detto...

Max Cady,

ho testato adesso e il download a me funziona.

Mal che vada, dammi un indirizzo di mail che te lo mando.

Spedire oltremanica: ti conviene ordinarlo su Amazon.

Sì, sarò alla Sticcon, posso dare una copia ai tuoi familiari.

Stupidocane ha detto...

Paolo, vorresti dirmi che hai libero accesso al database d'impronte dell'immigrazione statunitense?

Ma allora è vero! Tu lavori per il NWO!!

:D

Stupidocane ha detto...

lufo, no, convengo con te che non sia sicuro al 100% e rimango dell'idea che sia molto stupido affidare troppi "segreti" (paypal, home banking, chiusura centralizzata con allarme di casa ed altre amenità) ad un telefono. I telefoni, si rompono facilmente e si perdono altrettanto facilmente, purtroppo.

Quando non vengono proprio rubati a bella posta.

Su questo punto, c'è però da fare una considerazione, secondo me. Chi ruba un telefono, lo ruba PER il valore del telefono in sé. Credo che siano numericamente pochi quelli che lo rubano per accedere ai conti della vittima. Che nel caso gestisca conti correnti milionari, sarebbe un fesso a tenerli disponibili e gestibili da un telefono.

IMHO

Paolo Attivissimo ha detto...

Stupidocane,

Ma allora è vero! Tu lavori per il NWO!!

Non ho detto questo.

Ma è anche vero che se io lavorassi per l'NWO non lo dichiarerei mai.

avariatedeventuali ha detto...

L'impronta è un ottimo mezzo per identificare le persone ma solo se dietro è presente un addetto, come quelli di frontiera usa, che verifichi l'assenza di altro sui polpastrelli. Una delle banche in cui mi servo all'interno dell'accesso a bussola ha uno scanner per polpastrelli, se non si lascia la propria impronta non si accede all'interno. Quindi non vi è bisogno di andare a ravanare nei server dell'nsa o della dogana usa. La banca trattiene i dati raccolti chi sa quanto tempo per poter identificare chi dovesse creare problemi.
Potrà andar bene per difendere un dispositivo che non contenga nulla ma per azioni dispositive è intrinsecamente insicuro. Meglio una username, una password ed un token che generi codici ogni 30".
Se poi ti si lesiona il polpastrello e hai bisogno di accedere al dispositivo sono dolori ed infatti è previsto un pin per le emergenze... Almeno in iPhone. Il problema è... Userei il polpastrello come ora uso il pin 200 volte al di, giocoforza quindi ricordo il pin in modo automatico non fosse altro che per la ritualità del movimento ma se per tre anni uso il solo polpastrello e per qualche ragione si lesiona siamo sicuri che mi ricordo un pin inserito tre anni prima al momento dell'acquisto dello stesso ma mai usato? Già è un problema ricordarsi il pin del bancomat se lo si usa meno di una volta la settimana...

Stupidocane ha detto...

Sorrido mentre penso che abbiamo (ho) scomodato l'immigrazione USA, indirettamente l'FBI, ora avariate cita i database di alcune banche... se volete ci aggiungo che nel 2011 ho fatto l'abbonamento stagionale a Gardaland e, per autenticare che il nome della persona sulla tessera (non cedibile) fosse chi entrava, controllavano le impronte con uno scanner... Orpo... devo convenire che avete ragione!

Ma...

Tutto questo per ciuparsi il Galaxy S5 che tra 12 mesi sarà già vecchio? ;D

No, dai, capisco davvero la sensibilità dei dati personali affidati, anzi, sempre più affidati a questi miracolosi aggeggi tuttofare. Davvero. Condivido il timore di Paolo che qualche ricco sciroccato, si faccia davvero l'home banking sul telefono salvo poi piangere come un bambino quando gli rubano telefono, soldi, vita. Sissignori.

Ma d'altronde... la mamma degli stupidi è sempre incinta e se si riesce a salvarne anche uno soltanto, è una grande opera. Purtroppo gli altri continueranno a fotografare il fronte-retro della loro nuova carta di debito/credito e metterla online... o scaricheranno l'App della Somfy per lasciare che il figlio sedicenne possa chiudere la casa con l'allarme prima di saltare sullo skate, salire in metropolitana, farsi rubare il cellu, farsi svaligiare la casa, rubare l'auto di papà...



avariatedeventuali ha detto...

@stupidocane
"Tutto questo per ciuparsi il Galaxy S5 che tra 12 mesi sarà già vecchio? ;D"

No, tutto questo per sostenere che le impronti digitali non sono buone per l'autenticazione ché è affare completamente diverso dall'identificazione.

Non sono buone per l'autenticazione in linea di principio per iPhone, non lo sono per i Galaxy, non lo sono per le banche, non lo sono per le serrature di casa, non lo sono in generale.

Stupidocane ha detto...

@avariate


No, tutto questo per sostenere che le impronti digitali non sono buone per l'autenticazione ché è affare completamente diverso dall'identificazione.


Mai detto il contrario. D'accordissimo su questo.

max cady ha detto...

Provero' ancora un paio di volte a scaricarlo, magari in e-book, al limite ti mando il io indirizzo di posta su topone
Grazie della disponibilita'

max cady ha detto...

Ci sono riuscito in versione epub
Grazie comunque
Ciao

Machine Pistole ha detto...

L'impronta non è facile da reperire, questo di sicuro, ma ha ragione Paolo, occhio che non è per niente impossibile.
Io uso le password, le uso complesse e non metto mai le stesse password che uso sui miei dispositivi personali sui dispositivi che uso in azienda, ad esempio, proprio perché non so se ci sono installati keylogger.
Sarò un po' paranoico, ma ai miei dati ci tengo.
Cmq ben venga l'impronta, magari con anche la password in aggiunta... :)

Giulia Grasso ha detto...

Ottimo anche per usarlo come racchetta da ping pong... fa schiacciate bellissime.. fidatevi...