Android e l'insicurezza dei lettori di impronte

Una coppia di ricercatori lancia l'allarme sulle scarse misure di sicurezza per i lettori biometrici dei gadget Android, un problema che da qui a pochi anni potrebbe assumere dimensioni notevoli. E iOS? E' più sicuro grazie alla cifratura

Roma – I ricercatori di FireEye Tao Wei e Yulong Zhang sono intervenuti alla conferenza Black Hat di Las Vegas per lanciare l’allarme sui pericoli connessi all’uso di lettori di impronte digitali sui gadget mobile, una tecnologia che, nel caso dei terminali Android, presta il fianco a rischi concreti di compromissione dei dati biometrici.

Diversamente dalle password testuali, dicono infatti i ricercatori, le impronte e gli altri tratti biometrici durano letteralmente una vita: perderli, o peggio farli finire nelle mani di cyber-criminali e malintenzionati, equivale a condannarsi all’insicurezza perenne.

Il modo in cui la lettura delle impronte viene oggi gestita su Android, avvertono gli analisti, è tutto fuorché ideale e potrebbe facilitare la raccolta “su larga scala” delle impronte digitali da parte dei suddetti cyber-criminali.

In particolare, i ricercatori hanno identificato alcuni attacchi con cui acquisire di nascosto l’immagine di un’impronta su uno smartphone con sensore non completamente “bloccato” (HTC One Max, Samsung Galaxy S5), sfruttare i privilegi di accesso “system” (invece del più sicuro livello “root”) per compromettere il sensore sui dispositivi sbloccati e fare una raccolta diretta di dati biometrici a flusso continuo.

Prima di presentare il loro lavoro a Las Vegas, gli esperti di FireEye avevano già avvertito le corporation coinvolte per permettere la realizzazione e la distribuzione di apposite patch correttive. Per i terminali non aggiornati, invece, il rischio connesso all’uso delle impronte digitali – un rischio evidenziato da anni da gruppi come il CCC – crescerà con il crescere della disponibilità di smartphone dotati di apposito sensore. Per quanto riguarda i gadget iOS, infine, i problemi evidenziati su Android non pongono rischi grazie all’uso della crittografia.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ZLoneW scrive:
    Copyright sulle API
    Vediamo un po' se Apple fa causa a Microsoft come Oracle la fece a Google... i presupposti ci sarebbero tutti, mi sembra.
  • MacGeek scrive:
    Però, sono cambiati i tempi...
    Una volta M$ sfornava solo formati proprietari e schifava qualsiasi compatibilità con la concorrenza, forte del suo monopolio. Oggi invece si abbassa a fare un layer di compatibilità con iOS per il suo nuovo OS come una Wine qualsiasi Ahah. Come sono caduti in basso.
  • OpenSorcio scrive:
    voltagabbananesimo
    Quando l' open surs è targato BigM va bene altrimenti l' è una merdha cantinara... ummmm la potenza degli sghei.
  • piaccapi scrive:
    Singolare...
    ...la natura open della compatibilità ai sistemi più closed di sempre :-DPiuttosto, buona la furbata di pescare anche nella comunità, sviluppatori che realizzino il layer intermedio fra le app di iOS e quelle di Win10 in modo da ridurre, con poco sforzo, il gap fra lo store di Apple e quello di Microsoft. Almeno come desiderata. Vedremo se la mossa darà i suoi frutti.Certo... se non fosse per la natura open, avrei subito pensato all'ennesimo "abbraccio" ma probabilmente sarebbe troppo prematuro.Se dovessi pensare male, in base alle precedenti esperienze "collaborative" dell'era Gates/Ballmer, mi verrebbe da delineare il seguente scenario: PCM (Piano per la Conquista del Mondo) 1) attirare sviluppatori con questo bellissimo honeypot del layer di compatibilità.2) Una volta raggiunta una massa critica di app con lo sviluppo che diventerà sempre più nativo, il layer scomparirà/sarà deprecato improvvisamente (e questo è un gioco da ragazzi), tale da rendere lo sbattimento nella ricerca di una qualche compatibilità inversamente proporzionale allo sviluppo diretto.3) La presenza massiccia del pre-installato unitamente all'interfaccia universale (che per allora forse avrà raggiunto un grado di decenza) farà il resto.Quanti cascheranno in questo trappolone?
    • ... ... scrive:
      Re: Singolare...
      secondo me è solo un trucco per poter controllare più computer e/o smartphone da parte della apple.Ecco cosa sta facendo la microsoft con windows 10:http://www.tomshw.it/news/windows-10-potra-bloccare-i-giochi-pirata-da-microsoft-la-conferma-69149intanto comincia con i giochi, poi con i programmi e più avanti deciderà la microsoft cosa potrai farci con il tuo computer. Magari più avanti ti bloccherà le applicazioni gratis tipo libreoffice. Vedremo ma intanto i miei pc non vedranno windows 10.
      • ... ... scrive:
        Re: Singolare...
        - Scritto da: ... ...
        secondo me è solo un trucco per poter controllare
        più computer e/o smartphone da parte della
        apple.ops scusate volevo dire da parte della microsoft.
      • piaccapi scrive:
        Re: Singolare...
        Non mi sembra chissà quanto temibile come minaccia.Anche il WGA sembrava l'apocalisse e poi s'è rivelata la solita tigre di carta.No, Microsoft non può certo rinunciare all'80% della sua clientela abituale.
        • Sg@bbio scrive:
          Re: Singolare...
          Si parla dei suoi servizi, non tanto nel uso di win 10, anche perchè semmai cominciasse a XXXXXX il XXXXX su come usano il suo sistema operativo, potrebbero incominciare i problemi, per loro.
      • Zucca Vuota scrive:
        Re: Singolare...
        - Scritto da: ... ...
        Ecco cosa sta facendo la microsoft con windows 10:
        http://www.tomshw.it/news/windows-10-potra-bloccarSi parla di servizi Microsoft e dei giochi legati a questi. In pratica dicono che se usi un mio gioco piratato che si aggancia al mio servizio io posso bloccartelo. Lo stesso con le periferiche illegali (e qui direi che si parla soprattutto di Xbox dove l'hardware deve essere autorizzato). Regole che esistono da diverse generazioni di console. Tecnicamente lo può fare anche Steam.Non è Windows 10 il problema.
        • panda rossa scrive:
          Re: Singolare...
          - Scritto da: Zucca Vuota
          - Scritto da: ... ...

          Ecco cosa sta facendo la microsoft con
          windows
          10:


          http://www.tomshw.it/news/windows-10-potra-bloccar

          Si parla di servizi Microsoft e dei giochi legati
          a questi. In pratica dicono che se usi un mio
          gioco <s
          piratato </s
          che si aggancia al mio servizio io
          posso bloccartelo.Fixed. 8)Quello che stanno dicendo e' che hanno il potere di fare quello che vogliono sul tuo computer.Quello che dici tu (e che io ti ho corretto) e' usare questo potere per far valere la legge della giungla, del far west o del taglione.Esiste una magistratura a cui fare denuncia se ritieni che un tuo diritto e' stato violato. Non puoi in nessun caso farti giustizia da solo.
          Lo stesso con le periferiche
          illegali (e qui direi che si parla soprattutto di
          Xbox dove l'hardware deve essere autorizzato).E cho lo dice che sono illegali.La legge USA vale solo negli USA.
          Regole che esistono da diverse generazioni di
          console.Regole che venivano fatte rispettare dalla magistratura ordinaria, non da una milizia privata con licenza di uccidere computer.
          Tecnicamente lo può fare anche Steam.Steam non e' preinstallato sui sistemai in commercio.
          Non è Windows 10 il problema.Il problema e' M$.
        • ... scrive:
          Re: Singolare...
          - Scritto da: Zucca Vuota
          - Scritto da: ... ...

          Ecco cosa sta facendo la microsoft con
          windows
          10:


          http://www.tomshw.it/news/windows-10-potra-bloccar

          Si parla di servizi Microsoft e dei giochi legati
          a questi. In pratica dicono che se usi un mio
          gioco piratato che si aggancia al mio servizio io
          posso bloccartelo. Lo stesso con le periferiche
          illegali (e qui direi che si parla soprattutto di
          Xbox dove l'hardware deve essere autorizzato).
          Regole che esistono da diverse generazioni di
          console.


          Tecnicamente lo può fare anche Steam.

          Non è Windows 10 il problema.vero, il problema sono quulli come te che dicono che "Non è Windows 10 il problema."un dittatore non andrebbe da nessuna parte senza un esercito di servi, ammanicati e timorosi.
  • prova123 scrive:
    Adesso dovrebbe essere chiaro
    il perchè quando scrivo di UEFI non faccio distinzione per quanto riguarda Apple/Microsoft ...
  • barcollo scrive:
    Meditate GGGente meditate
    "la compatibilità iOS-Windows 10 è open source"Come da oggetto, medi i tate.... volevo dire medioitate... cioè medi e tatePSSalve Egregio William Baldwin -punto-Io non ce l'ho con lei benché è il secondo articolo che commento* -virgola- semplicemente resto basito dai suoi pezzi di approfondimento (faccina che ride) -aggiungo punto-punto-punto al fine di lasciar intendere chissà quale filosofia di fondo -ammicco ammicco-* http://punto-informatico.it/b.aspx?i=4263056&m=4263388#p4263388PPS ma i link non di possono più inserire oppure ho esagerato al baretto?
    • What scrive:
      Re: Meditate GGGente meditate
      tradotto in italiano?
      • barcollo scrive:
        Re: Meditate GGGente meditate
        A me pareva di aver usato (virgola) lo aulico stile dell'articolista [punto]{} -text- (ciao) e in compenso dato lo stesso taglio dell'articolo al mio commento (virgola) si segue a ftica e fascia intendere ma non dice nulla #punto#Migliorerò
Chiudi i commenti