Sicurezza biometrica a rischio: le vibrazioni delle dita su schermo consentono di ricreare impronte digitali

Un gruppo di ricercatori cinesi e statunitensi ha pubblicato un documento dove viene illustrata un'ingegnosa tecnica che può consentire la violazione dei dispositivi protetti da sicurezza biometrica basata sul riconoscimento delle impronte digitali.

La peculiartià di questa tecnica è la possibilità di ricreare digitalmente le impronte digitali a partire dalle vibrazioni prodotte dal dito che scorre sul display di uno smartphone. Sembra fantascienza, ma nel documento i ricercatori spiegano nel dettaglio come sono riusciti ad ottenere ciò, sebbene il successo di violare un sistema protetto da impronta digitale sia relativamente contenuto.

Il lavoro dei ricercatori si basa su altri studi e ricerche già effettuate in passato, dove è stata sfruttata l'intelligenza artificiale per creare una cosiddetta "MasterPrint" o "DeepMasterPrint", cioè un'impronta digitale "passepartout" capace di combinare tratti comuni di varie impronte e poter così autenticare più individui diversi. In questo caso i risultati ottenuti furono abbastanza deludenti, ma proprio partendo da qui i ricercatori si sono chiesti in che modo, senza una fotografia o traccia di un'impronta digitale, sarebbe possibile recuperare informazioni in più sulle impronte digitali per migliorare il tasso di successo degli attacchi MasterPrint.

A questa domanda la risposta è stata data partendo da altri lavori di ricerca, che hanno recentemente mostrato come le vibrazioni prodotte dalle dita quando scorrono su una superficie sono determinate dalle caratteristiche uniche delle impronte digitali.

Da qui il collegamento è stato abbastanza facile: quando si ha tra le mani un dispositivo come uno smartphone, i suoni dello scorrimento delle dita possono essere registrati agevolmente utilizzando il microfono del telefono. E, generalmente, gli utenti fanno scorrere le proprie dita sullo schermo moltissime volte quando utilizzano una qualsiasi app: ne basta una compromessa per accedere al microfono e il "gioco" è fatto. In realtà per il "gioco" serve qualcosa in più, che è poi ciò a cui hanno lavorato i ricercatori: una serie di algoritmi che possano comprendere e analizzare i suoni emessi dai polpastrelli sul display e da qui determinare la possibile conformazione dell'impronta digitale. 

L'attacco proof-of-concept dimostrato dai ricercatori è stato battezzato PrintListener e le sue sperimentazioni in scenari real-world hanno permesso di ottenere un successo “fino al 27,9% con impronte digitali parziali e il 9,3% con impronte digitali complete entro cinque tentativi con il massimo livello di sicurezza FAR [False Acceptance Rate] pari allo 0,01%”. Si tratta di un netto miglioramento rispetto agli attacchi "MasterPrint", ma il tasso di successo può essere considerato ancora relativamente basso.

In ogni caso lo studio dimostra che la tecnica ha una sua validità e, per questo motivo, non deve essere presa sottogamba. Una porzione consistente dei sistemi di sicurezza oggi disponibili su moltissimi dispositivi elettronici di ogni declinazione si basa sulla biometria, e in special modo sul riconoscimento delle impronte digitali: parallelamente crescono i rischi legati al furto delle stesse, e molti utenti e organizzazioni stanno assumendo un atteggiamento più cauto nel mostrare i dettagli delle proprie mani, evitando di esporre le impronte in foto e video. Un attacco come PrintListner, o una qualsiasi sua declinazione più evoluta ed affinata, può aumentare ulteriormente il livello di rischio con l'esito di dover ripensare alcuni aspetti della sicurezza biometrica.