Entro il 2019 almeno la metà degli smartphone offriranno un lettore di impronte digitali integrato.
Secondo i ricercatori di FireEye, nota società attiva nello sviluppo di soluzioni per la sicurezza informatica, sul versante Android debbono essere ancora compiuti notevoli passi in avanti in termini di protezione dei dati personali degli utenti.
Tao Wei e Yulong Zhang (FireEye) presenteranno, in occasione della prossima conferenza Black Hat, mostreranno un nuovo attacco che consente di sottrarre un’immagine delle impronte digitali dell’utente Android attingendo direttamente al contenuto del suo smartphone.
Secondo Zhang sarebbe possibile “sottrarre i dati relativi alle impronte digitali sui dispositivi Android e su larga scala“. Quegli utenti che hanno effettuato il rooting del proprio smartphone Android sarebbero maggiormente a rischio perché un’app malevola può sfruttare i “privilegi system” per acquisire silentemente le immagini dei polpastrelli dell’utente, precedentemente salvate sul device.
Per il momento, i ricercatori non si sono ancora espressi su quale produttore offra un livello di sicurezza maggiore rispetto agli altri per ciò che riguarda l’impiego del lettore di impronte digitali. Purtuttavia, l’attacco è stato sferrato con successo su dispositivi mobili come HTC One Max e Samsung Galaxy S5.
Secondo i due esperti di FireEye, il livello di protezione offerto da Apple sui suoi iPhone sarebbe, almeno allo stato attuale, superiore. “Anche se con un attacco si riuscisse ad operare una lettura diretta dal sensore biometrico“, spiega Zhang, “l’aggressore non può leggere il contenuto dell’immagine dell’impronta digitale vista l’impossibilità di recuperare la chiave crittografica“.
FireEye richiama così l’attenzione di Google e degli altri produttori su un tema che diverrà sempre più caldo. Un aggressore in possesso dell’impronta digitale di un terzo potrà in futuro compiere una vasta schiera di attacchi, alcuni dei quali possono avere serie conseguenze dal punto di vista economico e legale.
In assenza di ulteriori dettagli tecnici, il consiglio è quello di mantenere i propri dispositivi Android regolarmente aggiornati, di installare le app da sorgenti affidabili e di verificare sempre i permessi richiesti da ogni singola applicazione.
Alcuni consigli utili per proteggere i dati memorizzati nei propri dispositivi Android sono pubblicati nell’articolo Malware su Android: ESET scopre app pericolose su Play.