Android Lock Pattern, la vulnerabilità è la stessa di password e pin

Gli incidenti di sicurezza informatica avvenuti nel mondo nel corso degli ultimi anni hanno messo in luce come molti utenti facciano spesso uso di password estremamente semplici. Come già avevamo avuto modo di riscontrare con questa notizia, le password maggiormente usate sono spesso combinazioni semplici di caratteri sulla falsariga di "12346", "0000" o anche "password".

Con il debutto di Android, nel 2008, Google ha introdotto il sistema "Android Lock Pattern", una griglia composta da nove nodi disposti in configurazione 3x3, che permette all'utente di scegliere invece di una normale password o di un pin, un percorso che tocchi da quattro a nove nodi per bloccare e sbloccare il telefono. Lo scopo di fondo è quello di mettere a disposizione dell'utente un sistema semplice da usare ma che offra una elevata complessità potenziale nella creazione di percorsi, o pattern, più o meno complicati per mantenere il telefono meno vulnerabile a tentativi di intrusione.

Tuttavia questo sistema sembra anch'esso seguire una serie di comportamenti prevedibili e molto spesso può contare solo su una porzione limitata della complessità che è in grado di offrire. L'uso di Android Lock Pattern è relativamente recente e non è possibile disporre di particolari dati in merito, ma una ricerca condotta da una studentessa della Norwegian University of Science and Technology suggerisce che la prevedibilità dei pattern potrebbe presto o tardi renderli proni alle stesse tipologie di attacchi cui sono sottoposte le password.

Nella preparazione della sua tesi di master Løge ha raccolto ed analizzato circa 4 mila ALP riscontrando che una fetta piuttosto consistente, il 44% circa, ha come punto di partenza l'angolo superiore sinistro dello schermo e che il 77% inizia in uno dei quattro angoli. Mediamente vengono usati pattern a cinque nodi, che rispondono a meno di 9000 combinazioni possibili. Una percentuale significativa di pattern è composta invece da appena quattro nodi, riducendo le combinazioni disponibili ad appena 1624. Seguendo uno schema umano paurosamente prevedibile i pattern si sviluppano molto più frequentemente da sinistra verso destra e dall'alto verso il basso. Anche gli utenti mancini, insospettabilmente, tendono ad usare gli stessi punti di partenza dei destrorsi.

"Gli esseri umani sono prevedibili. Nella creazione di un pattern lock abbiamo riscontrato gli stessi schemi che stanno alla base della creazione dei pin e delle password alfanumeriche" ha dichiarato Løge in occasione della PasswordCon di Las Vegas presentando un intervento dal titolo Tell Me Who You Are, and I Will Tell You Your Lock Pattern.

Come detto in precedenza, gli ALP possono contenere un minimo di quattro nodi e un massimo di nove nodi, offrendo quindi la possibilità di comporre 389 mila combinazioni differenti. Løge ha chiesto ai soggetti del suo studio di creare tre ALP: uno che proteggesse una fittizia app di shopping, uno per una fittizia app di banking e uno per sbloccare lo smartphone. I pattern a 4 nodi sono stati quelli più ampiamente utilizzati, seguiti da quelli a 5 nodi. Dall'analisi emerge inoltre come l'utenza femminile sia più incline a scegliere pattern brevi e di semplice composizione.

Non è infatti solamente il numero di nodi toccati che determina quanto un ALP possa cadere sotto i colpi di un attacco simil-bruteforce. La sequenza specifica dei nodi toccati è un altro importante elemento che aggiunge complessità al pattern. Ipotizzando di assegnare ai nodi gli stessi numeri di un normale tastierino del telefono, la combinazione 1236 ha una complessità inferiore rispetto a 2136 dove si verifica un cambiamento di direzione del pattern. Già nel 2014 un gruppo di ricercatori aveva determinato un sistema a punteggio per descrivere e valutare la complessità di un pattern lock: fissati in 6,6 e 46,8 gli estremi minimi e massimi della scala di punteggio, lo studio condotto da Lødge ha verificato come il punteggio medio sia di 13,6 mentre il punteggio più alto rilevato sia stato di 44,4. Tuttavia è opportuno osservare che un pattern caratterizzato da un elevato punteggio di complessità può risultare difficile da ricordare.

Altro aspetto interessante che emerge dall'analisi di Løge è la tendenza (il 10% circa dei casi) di comporre il pattern lock in maniera tale che ricordi una lettera dell'alfabeto e che spesso corrisponde all'iniziale del nome dell'utente o di un individuo a lui prossimo (marito, moglie, figlio e via discorrendo). "E' stato divertente vedere che per ricordare un pattern le persone usano la stessa strategia usata per ricordare una password. Si vede lo stesso tipo di comportamento" ha commentato Løge.

Alla luce di questi aspetti i criminali informatici potrebbero torvare il modo di raccogliere un grande numero di ALP e costruire un modello matematico per migliorare le capacità di prevedere e indovinare un pattern lock. Per cercare di rendere più sicuro un pattern lock vale lo stesso approccio che si dovrebbe usare normalmente con un pin o una password: elaborarne uno di adeguata complessità, evitare sequenze ovvie, sfruttare quanti più nodi possibili e inserire incroci, una pratica che rende più difficile l'individuazione di un pattern lock ad occhi indiscreti. A tal proposito è consigliabile diasattivare anche la visualizzazione grafica del pattern che rende più difficili i tentativi di "shoulder surfing" ovvero lo spiare le azioni compiute dal soggetto stando alle sue spalle.