Il riconoscimento delle impronte di Galaxy S10 ingannato da un dito stampato in 3D
Neanche i sensori di impronte digitali a ultrasuoni degli ultimissimi Galaxy S10 Plus sembrano essere al sicuro da attacchi hacker. In questi giorni l'utente Imgur Darkshark ha mostrato di essere stato in grado di violare gli algoritmi di riconoscimento delle impronte dello smartphone più evoluto della nuova gamma Samsung, documentando un procedimento (neanche troppo costoso) che l'ha portato a stampare una replica del proprio pollice risultata credibile al sensore di impronte oggetto del suo attacco.
L'anonimo ha usato se stesso come cavia, fotografando la sua stessa impronta digitale lasciata su un bicchiere di vetro. Corretta la prospettiva con Photoshop, l'immagine è servita come base per creare un'impronta tridimensionale utilizzando 3D Studio Max, un software per la modellazione e l'animazione di oggetti in 3D. Grazie al software, Darkshark ha insomma dato profondità all'immagine, trasformando il dermatoglifo bidimensionale della foto in una sequenza di creste e solchi; una volta ottenuto il modello digitale del proprio pollice, l'ha trasformato in un oggetto reale utilizzando una stampante 3D da circa 350 euro. Per ottenere una superficie in grado di ingannare il sensore del Galaxy S10 Plus messo sotto esame ci sono voluti tre tentativi, durante i quali l'utente Darkshark ha affinato alcuni dettagli delle immagini ottenute. Considerando però che una stampa richiede appena 13 minuti, l'intero processo non è durato molto.
Certo, c'è da dire che Darkshark ha agito in condizioni ideali: ha potuto imprimere l'impronta sul bicchiere in modo che risaltasse in fotografia, ha catturato l'immagine in tutta tranquillità e ha avuto accesso illimitato al dispositivo da violare, tanto da aver potuto effettuare tre differenti prove a distanza una dall'altra. In linea di principio però l'attacco che è riuscito a portare resta preoccupante, perché coinvolge davvero solo una fotografia, un software per la modellazione e una stampante 3D.
Galaxy S10 Plus non è certo il primo sistema di autenticazione biometrica a essere stato violato, anzi: lettori di impronte capacitivi o ottici hanno subito la stessa sorte già da tempo, così come il FaceID degli iPhone; le società produttrici insomma stanno ancora cercando metodi veramente inattaccabili per proteggere i dati all'interno dei telefoni e dei computer che vendono. Chi ha motivo di temere per la sicurezza dei propri dati o chi nasconde informazioni veramente sensibili all'interno del proprio dispositivo insomma resta più protetto con una password — motivo per cui alcuni smartphone continuano a chiederla di quando in quando, anche se in memoria è ben presente l'impronta digitale del proprietario. Tutti gli altri possono stare relativamente tranquilli: è difficile che qualcuno spenda tutte queste energie per violare un telefono a caso, motivo per cui generalmente queste minacce non vanno considerate come dirette al grande pubblico.
