I lettori appassionati delle vicende di hacking e hacktivism a livello internazionale ricorderanno di certo un nome, più che noto nella scena relativa al “white hat hacking” europeo, ovvero Chaos Computer Club, che col tempo si è reso protagonista di diverse iniziative per incentivare la libertà online e l’interscambio di informazioni, spesso perforando la sicurezza di sistemi dati per inviolabili.
Ed è proprio il Chaos Computer Club, assieme ad un altro manipolo di appassionati, che si è recentemente reso protagonista di una rivelazione sensazionale che ha a che vedere Touch ID di Apple, sistema studiato per il riconoscimento biometrico dell’utente, perciò delle impronte digitali.
Il tutto è avvenuto con una tecnica apparentemente tradizionale, basandosi esclusivamente sull’immagine fotografica di qualità medio-elevata delle impronte digitali desiderate.
L’immagine viene successivamente trattata e rimanipolata con suite di software apposito, di cui un nome è trapelato: VeriFinger.
A quanto sembra, è sufficiente una sola immagine dei polpastrelli perché si possa recuperare un calco estremamente fedele alla realtà delle dita dell’ignaro utente, che potenzialmente viene così messo di fronte alla possibilità di vedere l’account violato.
Il futuro diventa quindi un’incognita non semplicemente per Apple, ma anche per ogni big che ha deciso di ricorrere ad uno strumento di identificazione che si riteneva tra i più sicuri ed invalicabili, perché legato all’individuo.
Le condizioni sperimentali tramite le quali gli esperimenti sono avvenuti sembrerebbero comunque legate alla presenza di una serie specifica di fattori; perciò gli utenti comuni – che naturalmente non hanno mostrato le proprie impronte online – potrebbero considerarsi relativamente sicuri.
Nel frattempo, sono trapelati online alcuni video che dimostrerebbero la procedura, compiuta in meno di venti minuti, dove sono illustrate procedure che richiedono necessariamente conoscenza di utilizzo di materiali quali grafite, silicone e repliche capacitive, spesso non alla portata dell’utente medio.
Attendiamo quindi le varie risposte delle major della tecnologia coinvolte, sapendo che anche l’autenticazione basata su fattori personali corre seri rischi, allineandosi praticamente al tradizionale cracking delle credenziali.
Vi aggiorneremo quindi sugli eventuali sviluppi relativi ad una tecnologia che potrebbe vedere il suo tramonto, purtroppo, pochi anni dopo la sua fioritura.
Lascia un commento