Un nuovo attacco sfrutta i suoni di scorrimento del dito su un touchscreen per estrarre le impronte digitali e in 1 caso su 11 ricostruisce l’intera impronta digitale. Dell’approccio PrintListener parla un recentissimo paper di ricercatori cinesi e statunitensi che sta creando una certa apprensione negli ambienti consumer ed eCommerce. Per la precisione, si dichiara che PrintListener ha successo parziale nel 27,9% dei casi, ma soprattutto ha successo pieno nel 9,3% dei casi completi. Non è ancora nota la rilevanza delle impronte parziali nei sistemi in analisi.
L'attacco cattura i suoni di attrito del dito da app come Discord, Skype, WeChat, FaceTime ed altre applicazioni. L'algoritmo di PrintListener estrae le caratteristiche dell'impronta digitale ascoltando (listener) i leggeri suoni emessi dallo sfregamento dell’impronta (print).
Biometria sotto attacco
Ogni nuova scoperta apre nuove, inattese porte. In questo caso, altri ricercatori hanno scoperto un difetto di progettazione nel sistema di autenticazione delle impronte digitali degli smartphone, ottenendo tentativi illimitati per un classico attacco di forza bruta. PrintListener, comunque, non ha bisogno di accedere allo smartphone.
Se questo tipo di attacco diventasse comune, s’infrangerebbe l’estrema rilevanza della sicurezza biometrica attualmente affidata alle impronte digitali. Nonostante sia stato messo in dubbio che siano uniche per ciascun individuo, il mercato è oggi fortemente orientato in questa direzione: la ricostruzione delle impronte potrebbe portare ad una riduzione della fiducia nella tecnologia e a un aumento delle truffe, già fortemente attaccate con tecniche avanzatissime quali i real-time deepfake.
Il digitale è una continua rincorsa in ambito cybersecurity
Nell'era digitale, la sicurezza informatica si trova costantemente sotto la minaccia di attacchi innovativi quando PrintListener. Nel corso degli anni sono emerse tecniche sorprendenti che sfruttano le vulnerabilità meno ovvie dei nostri dispositivi e ambienti quotidiani. Dalla trascrizione di digitazioni tramite il suono degli alimentatori a tecniche di spionaggio basate su vibrazioni dei vetri delle finestre, dall’analisi ambientale del Kinect alle mappe scandite dai Roomba, fino all'uso di reti avversative Gan per ingannare i sistemi di riconoscimento vocale come Alexa.
Queste nuove frontiere stanno ridefinendo il concetto di sicurezza proprio mentre a livello aziendale ci si attende che l’attivazione della direttiva europea NIS2 il prossimo ottobre segni un discrimine per la sicurezza aziendale.
