{"id":21364,"date":"2020-04-20T12:17:01","date_gmt":"2020-04-20T10:17:01","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21364"},"modified":"2020-05-19T19:43:52","modified_gmt":"2020-05-19T17:43:52","slug":"sas2020-fingerprint-cloning","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/sas2020-fingerprint-cloning\/21364\/","title":{"rendered":"La falsificazione delle impronte digitali \u00e8 possibile"},"content":{"rendered":"<p>Per anni, la <strong>sicurezza<\/strong> degli <a href=\"https:\/\/www.kaspersky.it\/blog\/fingerprints-sensors-security\/7303\/\" target=\"_blank\" rel=\"noopener\">accessi ai servizi mediante impronte digitali<\/a> \u00e8 stata oggetto di un acceso dibattito. Gi\u00e0 nel 2013, poco dopo la release dell\u2019iPhone 5S con <strong>TouchID<\/strong>, i ricercatori avevano dimostrato che <strong><a href=\"https:\/\/www.ccc.de\/en\/updates\/2013\/ccc-breaks-apple-touchid\" target=\"_blank\" rel=\"noopener nofollow\">la tecnologia poteva essere aggirata<\/a><\/strong> fotografando un\u2019<strong>impronta digitale <\/strong>su una superficie di vetro e utilizzandola per realizzare uno stampo. Tuttavia, la tecnologia non si ferma mai e i miglioramenti nel settore hanno dato pi\u00f9 speranze.<\/p>\n<p>L\u2019anno scorso, ad esempio, le case produttrici di <strong>smartphone<\/strong> hanno iniziato a dotare i dispositivi di scanner di <strong>impronte digitali a ultrasuoni<\/strong> nascosti sotto lo schermo, eliminando la necessit\u00e0 di pannelli aggiuntivi e diventando, almeno in teoria, pi\u00f9 sicuri.<\/p>\n<p>I nostri colleghi di <strong>Cisco Talos<\/strong> <a href=\"https:\/\/blog.talosintelligence.com\/2020\/04\/fingerprint-research.html\" target=\"_blank\" rel=\"noopener nofollow\">hanno deciso di valutare<\/a> se sia possibile ingannare con facilit\u00e0 vari tipi di scanner di impronte digitali presenti nei dispositivi moderni, o se la tecnologia \u00e8 finalmente sicura.<\/p>\n<h2>Autorizzazione di accesso mediante impronte digitali: la teoria<\/h2>\n<p>In primo luogo, \u00e8 necessario ripassare brevemente come funzionano gli scanner di impronte digitali. L\u2019idea di base \u00e8 semplice: posizionate il dito su uno scanner per <strong>smartphone, portatile<\/strong> o su uno <a href=\"https:\/\/www.kaspersky.it\/blog\/why-smart-padlocks-suck-2\/17278\/\" target=\"_blank\" rel=\"noopener\">smart lock<\/a> e il <strong>sensore<\/strong> estrae un\u2019immagine dell\u2019<strong>impronta digitale<\/strong>. Ogni tipo di scanner riconosce le impronte digitali a modo suo. Il team di Cisco Talos si \u00e8 concentrato sui tre scanner pi\u00f9 popolari:<\/p>\n<ul>\n<li>Gli <strong>scanner capacitivi<\/strong> sono i pi\u00f9 comuni. Creano un\u2019immagine per mezzo di una piccola carica elettrica generata da condensatori miniaturizzati integrati in grado di immagazzinare elettricit\u00e0. Quando il dito tocca lo scanner, scarica questi condensatori. Un maggiore contatto (creste delle impronte digitali) provoca una maggiore scarica; gli spazi tra la pelle e il sensore (valli delle impronte digitali) provocano meno scariche. Lo scanner misura la differenza e determina lo schema;<\/li>\n<li>Gli<strong> scanner ottici<\/strong> sostanzialmente scattano una fotografia dell\u2019impronta digitale. Il dispositivo rileva il dito attraverso un prisma, le creste e le valli riflettono questa luce in modo diverso, il sensore legge le informazioni e le converte in un\u2019immagine;<\/li>\n<\/ul>\n<ul>\n<li>Gli<strong><a href=\"https:\/\/www.kaspersky.it\/blog\/mwc19-recap\/16999\/\" target=\"_blank\" rel=\"noopener\">scanner a ultrasuoni<\/a><\/strong> utilizzano un <strong>segnale a ultrasuoni<\/strong> al posto della luce e registrano l\u2019eco generato da creste e valli (come nel caso della riflessione della luce, creste e valli hanno echi diversi). Questo tipo di scanner non ha bisogno di essere a contatto con il dito, quindi pu\u00f2 essere posizionato sotto lo schermo. Inoltre, \u201csente\u201d non solo la parte del dito vicino alla superficie, ma anche i bordi pi\u00f9 lontani dal sensore, in modo che l\u2019immagine sia pi\u00f9 vicina alla tridimensionalit\u00e0, il che aiuta lo scanner a <strong>rilevare le false impronte<\/strong> che utilizzano copie piatte delle stesse.<\/li>\n<\/ul>\n<p>Dopo aver ottenuto la vostra <strong>impronta digitale<\/strong>, lo scanner o il sistema operativo la confronta con quella memorizzata nel dispositivo. Poich\u00e9 nessun metodo di <strong>lettura delle impronte digitali<\/strong> esistente \u00e8 perfetto, ogni casa produttrice ammette un certo margine di errore.<\/p>\n<p>Pi\u00f9 alto \u00e8 tale margine, pi\u00f9 facile \u00e8<strong> <a href=\"https:\/\/www.kaspersky.it\/blog\/new-fingerprint-reading-technologies\/15131\/\" target=\"_blank\" rel=\"noopener\">falsificare un\u2019impronta digitale<\/a><\/strong>. Se le impostazioni sono pi\u00f9 rigorose e il margine di errore \u00e8 pi\u00f9 basso, lo scanner \u00e8 pi\u00f9 difficile da ingannare, ma \u00e8 anche pi\u00f9 probabile che il dispositivo non riesca a riconoscere il vero proprietario.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial\">\n<h2>Come i ricercatori hanno falsificato le impronte digitali<\/h2>\n<p>Per fare una <strong>copia fisica di un\u2019impronta digitale<\/strong>, ovviamente \u00e8 necessario acquisirne una. Il team di ricerca dello studio ha trovato tre modi per farlo.<\/p>\n<h3>Come rubare un\u2019impronta digitale. Metodo 1: fare uno stampo<\/h3>\n<p>\u00c8 possibile prendere un calco dell\u2019<strong>impronta digitale <\/strong>dell\u2019obiettivo quando, ad esempio, la vittima non \u00e8 cosciente o non si sente bene. Qualsiasi materiale morbido che si indurisce \u00e8 adatto, per esempio l\u2019argilla per modellare.<\/p>\n<p>Un malintenzionato pu\u00f2 quindi usare il calco per creare un\u2019<strong>impronta<\/strong> <strong>falsa<\/strong>. L\u2019ovvia difficolt\u00e0 \u00e8 che la vittima deve trovarsi in certe condizioni e fisicamente accessibile.<\/p>\n<h3>Come rubare un\u2019impronta digitale. Metodo 2: procurarsi un\u2019immagine dello scanner<\/h3>\n<p>Un altro modo \u00e8 quello di <strong>rubare un\u2019impronta digitale<\/strong> di uno scanner. Questo metodo \u00e8 tecnicamente pi\u00f9 complicato, ma la buona notizia per i cybercriminali \u00e8 che non tutte le aziende che gestiscono i <strong>dati biometrici<\/strong> li immagazzinano in modo affidabile. Per questo motivo, non \u00e8 cos\u00ec impossibile <a href=\"https:\/\/www.vpnmentor.com\/blog\/report-biostar2-leak\/\" target=\"_blank\" rel=\"noopener nofollow\">trovare online delle impronte digitali scannerizzate<\/a> o acquistarle a buon mercato sulla <strong>darknet<\/strong>.<\/p>\n<p>Successivamente, <strong>l\u2019immagine piatta<\/strong> deve essere trasformata in un <strong>modello 3D<\/strong> e stampata con una <strong>stampante 3D<\/strong>. In primo luogo, il programma con cui i ricercatori hanno creato il disegno non ha permesso loro di impostarne le dimensioni. In secondo luogo, dopo la stampa hanno dovuto riscaldare il fotopolimero utilizzato nella <strong>stampante 3D<\/strong> a basso costo, il che ha alterato le dimensioni del modello.<\/p>\n<p>In terzo luogo, quando i ricercatori sono finalmente riusciti a realizzare un <strong>modello di impronte digitali <\/strong>adeguato, si \u00e8 scoperto che il <strong>polimero<\/strong> di cui era fatto era troppo duro e non sono riusciti a ingannare nemmeno uno scanner. Come soluzione, invece del modello di un dito, i ricercatori hanno deciso di stampare un calco, che hanno poi usato per fare un <strong>dito protesico<\/strong> di un materiale pi\u00f9 elastico.<\/p>\n<h3>Come rubare un\u2019impronta digitale. Metodo 3: scattare una foto di un\u2019impronta digitale su una superficie di vetro<\/h3>\n<p>Un\u2019altra opzione, e anche la pi\u00f9 semplice, \u00e8 quella di <strong>fotografare<\/strong> l\u2019<strong>impronta<\/strong> <strong>digitale<\/strong> dell\u2019obiettivo su una <strong>superficie di vetro<\/strong>. \u00c8 esattamente quello che \u00e8 successo nel caso dell\u2019iPhone 5S di cui abbiamo precedentemente parlato. L\u2019immagine viene elaborata per ottenere il livello di nitidezza necessario e poi, come prima, passa a una <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/3d-printed-keys\/7290\/\" target=\"_blank\" rel=\"noopener\">stampante 3D<\/a><\/strong>.<\/p>\n<p>Come hanno notato i ricercatori, gli esperimenti con la <strong>stampa 3D<\/strong> sono stati lunghi e tediosi. Hanno dovuto calibrare la stampante e trovare il calco della giusta dimensione tramite tentativi ed errori, e la stampa effettiva di ogni modello con le impostazioni necessarie (50 in totale) ha richiesto un\u2019ora di lavoro. Quindi, realizzare una <strong>falsa impronta digitale<\/strong> per sbloccare uno <strong>smartphone<\/strong> rubato non \u00e8 una cosa che si pu\u00f2 fare velocemente, tantomeno lo \u00e8 copiare l\u2019impronta digitale di una vittima addormentata.<\/p>\n<p>Realizzare uno stampo per fabbricare l\u2019impronta digitale \u00e8 solo met\u00e0 del lavoro. La scelta del <strong>materiale<\/strong> per il modello stesso si \u00e8 rivelata un compito arduo, e la falsa impronta \u00e8 stata testata su tre <strong>tipi di sensori<\/strong>, ciascuno con un diverso metodo di lettura delle impronte digitali. Ad esempio, se un materiale pu\u00f2 condurre corrente \u00e8 irrilevante per i sensori ottici e a ultrasuoni, ma non per un sensore capacitivo.<\/p>\n<p>Tuttavia, questa parte del processo \u00e8 accessibile a tutti: il materiale migliore per le stampe false \u00e8 la colla per tessuti a basso costo.<\/p>\n<h2>Quali dispositivi sono stati hackerati utilizzando false impronte digitali<\/h2>\n<p>I ricercatori hanno testato le <strong>impronte digitali false<\/strong> su diversi smartphone, tablet e portatili di varie case produttrici, nonch\u00e9 su uno <strong>smart lock<\/strong> e due <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/weaponized-usb-devices\/17210\/\" target=\"_blank\" rel=\"noopener\">chiavette USB<\/a><\/strong> protette da un <strong>sensore di impronte digitali<\/strong>, modelli Verbatim Fingerprint Secure e Lexar Jumpdrive F35.<\/p>\n<p>I risultati sono stati piuttosto scoraggianti: la maggior parte degli smartphone e dei tablet \u00e8 stata ingannata facilmente l\u201980%-90% delle volte e, in alcuni casi, la percentuale di successo \u00e8 stata del 100%. I calchi <strong>stampati in 3D<\/strong> sono stati i meno efficaci, ma la differenza non \u00e8 stata importante; tutti e tre i metodi sopra descritti funzionano bene.<\/p>\n<p>Ci sono state delle eccezioni. Ad esempio, il team di ricerca non \u00e8 stato assolutamente in grado di accedere allo smartphone Samsung A70, anche se vale la pena ricordare che l\u2019A70 \u00e8 anche il dispositivo pi\u00f9 propenso a non riconoscere il vero proprietario.<\/p>\n<p>Anche i dispositivi con <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/windows-adobe-type-manager-vulnerability\/20981\/\" target=\"_blank\" rel=\"noopener\">Windows 10<\/a><\/strong> si sono rivelati impenetrabili, indipendentemente dalla casa produttrice. I ricercatori attribuiscono questa notevole stabilit\u00e0 al fatto che il <strong>sistema operativo<\/strong> stesso esegua la corrispondenza delle <strong>impronte digitali<\/strong>, quindi non dipende molto dal produttore del dispositivo.<\/p>\n<p>Nel frattempo, le <strong>chiavette USB \u201cprotette\u201d<\/strong> si sono dimostrate degne di questo nome, anche se i nostri colleghi avvertono che anch\u2019esse potrebbero essere suscettibili a un attacco pi\u00f9 sofisticato.<\/p>\n<p>Ultimo dettaglio, ma non meno importante: gli <strong>scanner a ultrasuoni per le impronte digitali<\/strong> sono stati i pi\u00f9 facili da ingannare. Nonostante la loro capacit\u00e0 di leggere un\u2019immagine in 3D, quando un dito in carne e ossa premeva l\u2019impronta falsa sul sensore, gli scanner a ultrasuoni hanno scambiato le impronte false per autentiche.<\/p>\n<h2>Protezione delle impronte digitali degli utenti comuni<\/h2>\n<p>Secondo i ricercatori, la sicurezza dell\u2019<strong>accesso ai dispositivi basata sulle impronte digitali<\/strong> lascia molto a desiderare, e in una certa misura la situazione \u00e8 addirittura peggiorata rispetto agli anni precedenti. Se siete interessati a saperne di pi\u00f9, assicuratevi di leggere le nostre pubblicazioni dove i nostri esperti riescono anche ad <strong>hackerare una <a href=\"https:\/\/www.kaspersky.it\/blog\/36c3-immobilizers-2\/19914\/\" target=\"_blank\" rel=\"noopener\">auto<\/a> <\/strong>e una <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/vulnerable-smart-home\/17694\/\" target=\"_blank\" rel=\"noopener\">casa intelligente<\/a><\/strong>.<\/p>\n<p>Detto questo, fabbricare un dito falso \u00e8 un processo piuttosto costoso, almeno dal punto di vista del tempo necessario per crearlo, il che significa che un normale utente non ha nulla da temere. Ma se ci si trova nel mirino di un gruppo criminale o di un servizio di intelligence ben finanziato, \u00e8 tutta un\u2019altra storia. In questo caso, \u00e8 meglio proteggere tutti i dispositivi con una buona password vecchio stile. Dopotutto, hackerare una password <a href=\"https:\/\/www.kaspersky.it\/blog\/strong-password-day\/16871\/\" target=\"_blank\" rel=\"noopener\">forte<\/a> \u00e8 pi\u00f9 difficile, e si pu\u00f2 sempre cambiarla se si sospetta che possa essere caduta nelle mani sbagliate o se vi hanno <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/smartphones-vs-pickpockets\/15874\/\" target=\"_blank\" rel=\"noopener\">rubato il dispositivo<\/a><\/strong>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Gli esperti di sicurezza hanno trovato vari modi per falsificare le impronte digitali e per ingannare i sensori di smartphone, tablet, portatili e smart lock.<\/p>\n","protected":false},"author":2581,"featured_media":21367,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2195],"tags":[925],"class_list":{"0":"post-21364","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-sas"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sas2020-fingerprint-cloning\/21364\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sas2020-fingerprint-cloning\/20638\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/16466\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/8128\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/21522\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sas2020-fingerprint-cloning\/19775\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/18446\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sas2020-fingerprint-cloning\/22420\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sas2020-fingerprint-cloning\/28101\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sas2020-fingerprint-cloning\/8113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/34929\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sas2020-fingerprint-cloning\/14668\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sas2020-fingerprint-cloning\/14974\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sas2020-fingerprint-cloning\/13338\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sas2020-fingerprint-cloning\/23729\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/sas2020-fingerprint-cloning\/11372\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sas2020-fingerprint-cloning\/28161\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/sas2020-fingerprint-cloning\/25306\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sas2020-fingerprint-cloning\/22053\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sas2020-fingerprint-cloning\/27359\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sas2020-fingerprint-cloning\/27197\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21364","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=21364"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21364\/revisions"}],"predecessor-version":[{"id":21676,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/21364\/revisions\/21676"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/21367"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=21364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=21364"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=21364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}