9 Aprile 2019
12:05

Il riconoscimento delle impronte di Galaxy S10 ingannato da un dito stampato in 3D

In un procedimento documentato su Imgur, un utente ha dimostrato di essere riuscito a sbloccare un Galaxy S10 Plus ingannando il lettore di impronte digitali a ultrasuoni che lo proteggeva. Per farlo sono bastati la fotografia di un’impronta lasciata su un bicchiere, un software di modellazione e una stampante 3D.
A cura di Lorenzo Longhitano

Neanche i sensori di impronte digitali a ultrasuoni degli ultimissimi Galaxy S10 Plus sembrano essere al sicuro da attacchi hacker. In questi giorni l'utente Imgur Darkshark ha mostrato di essere stato in grado di violare gli algoritmi di riconoscimento delle impronte dello smartphone più evoluto della nuova gamma Samsung, documentando un procedimento (neanche troppo costoso) che l'ha portato a stampare una replica del proprio pollice risultata credibile al sensore di impronte oggetto del suo attacco.

L'anonimo ha usato se stesso come cavia, fotografando la sua stessa impronta digitale lasciata su un bicchiere di vetro. Corretta la prospettiva con Photoshop, l'immagine è servita come base per creare un'impronta tridimensionale utilizzando 3D Studio Max, un software per la modellazione e l'animazione di oggetti in 3D. Grazie al software, Darkshark ha insomma dato profondità all'immagine, trasformando il dermatoglifo bidimensionale della foto in una sequenza di creste e solchi; una volta ottenuto il modello digitale del proprio pollice, l'ha trasformato in un oggetto reale utilizzando una stampante 3D da circa 350 euro. Per ottenere una superficie in grado di ingannare il sensore del Galaxy S10 Plus messo sotto esame ci sono voluti tre tentativi, durante i quali l'utente Darkshark ha affinato alcuni dettagli delle immagini ottenute. Considerando però che una stampa richiede appena 13 minuti, l'intero processo non è durato molto.

Certo, c'è da dire che Darkshark ha agito in condizioni ideali: ha potuto imprimere l'impronta sul bicchiere in modo che risaltasse in fotografia, ha catturato l'immagine in tutta tranquillità e ha avuto accesso illimitato al dispositivo da violare, tanto da aver potuto effettuare tre differenti prove a distanza una dall'altra. In linea di principio però l'attacco che è riuscito a portare resta preoccupante, perché coinvolge davvero solo una fotografia, un software per la modellazione e una stampante 3D.

Galaxy S10 Plus non è certo il primo sistema di autenticazione biometrica a essere stato violato, anzi: lettori di impronte capacitivi o ottici hanno subito la stessa sorte già da tempo, così come il FaceID degli iPhone; le società produttrici insomma stanno ancora cercando metodi veramente inattaccabili per proteggere i dati all'interno dei telefoni e dei computer che vendono. Chi ha motivo di temere per la sicurezza dei propri dati o chi nasconde informazioni veramente sensibili all'interno del proprio dispositivo insomma resta più protetto con una password — motivo per cui alcuni smartphone continuano a chiederla di quando in quando, anche se in memoria è ben presente l'impronta digitale del proprietario. Tutti gli altri possono stare relativamente tranquilli: è difficile che qualcuno spenda tutte queste energie per violare un telefono a caso, motivo per cui generalmente queste minacce non vanno considerate come dirette al grande pubblico.

Samsung Galaxy S10, S10+ e S10e: cosa sappiamo
Samsung Galaxy S10, S10+ e S10e: cosa sappiamo
I Samsung Galaxy S10 sono meno potenti dell'iPhone XS, nei test di Geekbench
I Samsung Galaxy S10 sono meno potenti dell'iPhone XS, nei test di Geekbench
Abbiamo provato i nuovi Galaxy S10, S10+ e S10e di Samsung
Abbiamo provato i nuovi Galaxy S10, S10+ e S10e di Samsung
157.181 di Marco Paretti
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni