Android, una vulnerabilità permette di rubare le impronte digitali
In occasione dell'evento Black Hat di Las Vegas, due ricercatori di FireEye, Tao Wei e Yulong Zhang, hanno illustrato nel corso di una conferenza una nuova vulnerabilità che mette a rischio la sicurezza di tutti gli utenti Android che utilizzano un dispositivo con il lettore di impronte digitali. Secondo quanto spiegato dai due informatici, a causa di una vulnerabilità scoperta dal team di FireEye, un hacker potrebbe rubare l’impronta digitale memorizzata nel dispositivo con sistema operativo Made in Google. Ad oggi il numero di smartphone che utilizzano il lettore di impronte digitali è ancora limitato ma entro il 2019 oltre il 50% degli smartphone avrà un lettore di impronte e questo dato deve far riflettere sui danni che può comportare un attacco di questo genere.
Come sottolineato da Tao Wei e Yulong Zhang, infatti, l'impronta digitale non è come una password, non può essere cambiata. Se un malintenzionato entra in possesso dell'impronta digitale di un utente avrà modo di portare a termine diverse operazioni causando danni incalcolabili. Basti pensare che oggi l'impronta digitale è utilizzata per sbloccare un device come uno smartphone o un tablet ma anche per autorizzazione i pagamenti mobile. Nel corso dell'intervento i due ricercatori di FireEye hanno quindi mostrato ai presenti quattro tipologie di attacco basate sul Fingerprint Framework dei Samsung Galaxy S5 e HTC One Max.
Le impronte digitali scansionate con il lettore presente sui dispositivi Android vengono salvate in un’area non protetta del sistema operativo e quindi facilmente accessibile da un eventuale hacker. Fortunatamente il team di FireEye ha sottolineato che per effettuare un attacco e rubare le impronte digitali di uno smartphone Android occorre installare una ROM custom e comunque la vulnerabilità non è presente in Android 5.0 Lollipop. Quello che consigliano Tao Wei e Yulong Zhang è di scaricare sempre applicazioni da fonti affidabili ed evitare il rooting del dispositivo.
