Il mercato delle soluzioni per l’autenticazione biometrica basato sul riconoscimento e sull’elaborazione delle impronte digitali potrebbe valere quasi 100 miliardi di dollari entro il 2032.
Questa crescita vorticosa sta motivando gli esperti di sicurezza a individuare nuovi e sempre più innovativi meccanismi per provare a rendere meno attendibili i meccanismi di rilevamento biometrico. Ciò è del tutto normale: più una soluzione è diffusa e apprezzata, più si cercano strade per violarla facendone emergere eventuali difetti. La condivisione responsabile delle lacune di sicurezza o di aspetti non gestiti nel migliore dei modi, contribuisce a rafforzare quelle stesse soluzioni che aziende, professionisti e privati usano ogni giorno per proteggere i loro dati.
Cos’è l’attacco PrintListener: un modo creativo per rubare le impronte digitali
Un gruppo di ricercatori cinesi e statunitensi ha proposto una metodologia di attacco che mira, in ottica futura, a superare i controlli esercitati dai moderni smartphone sulle impronte digitali degli utenti. Il sistema oggetto di discussione, battezzato PrintListener, potrebbe sembrare quasi follia. In realtà, stando ai risultati dello studio, permetterebbe di impossessarsi con successo dell’impronte digitali degli utenti (almeno in forma parziale) quasi una volta su tre; nel 9,3% dei casi in forma completa entro 5 tentativi.
PrintListener raccoglie ed esamina i suoni generati quando l’utente scorre il dito su uno schermo touch, come quello di uno smartphone, per estrarre le caratteristiche dell’impronta digitale e costruire un modello personalizzato. Pensiamo a quante volte facciamo scorrere le dita sul display del telefono, ad esempio per scorrere una pagina Web, selezionare un’opzione, sbloccare il dispositivo e così via.
L’immagine è tratta dal documento “Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound“.
Le sfide affrontate per memorizzare l’impronta digitale
Gli autori della ricerca spiegano che attivando il microfono dello smartphone – sì proprio quello che è integrato nei vostri terminali – e sviluppando un’app in grado di catturare il suono generato dall’attrito tra il dito sullo schermo del device, è effettivamente possibile creare un profilo personalizzato che descrive in maniera piuttosto accurata l’impronta digitale di ciascun individuo.
Applicazioni “papabili” per ricostruire, attraverso una serie di approssimazioni successive, l’impronta digitale dell’utente sono ad esempio quelle abitualmente usate per l’interazione con i social media oltre agli strumenti per chat e videoconferenze come Discord, Skype, Teams, Zoom e così via.
I ricercatori hanno collaborato spalla a spalla per affrontare e superare tre sfide principali:
- Sviluppare un algoritmo capace di individuare lo scorrimento delle dita sullo schermo del dispositivo. Basandosi sull’analisi spettrale è stato possibile catturare i deboli suoni dell’attrito del dito, separandoli da tutto il resto e dal rumore di fondo.
- Distinguere le caratteristiche del suono legate al modello dell’impronta digitale da quelle correlate con gli aspetti fisiologici e comportamentali degli utenti. Da un lato, il metodo mRMR (Minimum Redundancy Maximum Relevance) ha permesso di selezionare le caratteristiche più rilevanti; dall’altro, una strategia di pesatura adattativa è stata la chiave per attribuire pesi diversi alle varie caratteristiche. In questo modo si è potuto separare in modo efficace e accurato i vari fattori in gioco.
- Dedurre le caratteristiche primarie e secondarie delle impronte digitali utilizzando l’analisi statistica delle intercorrelazioni tra le caratteristiche. A sostegno del meccanismo, i tecnici hanno usato un algoritmo di ricerca euristico.
I ricercatori, in conclusione, sottolineano che il loro modello PrintListener avrebbe prodotto risultati incoraggianti in “scenari reali”, superando le metodologie più convenzionali.