{"id":27811,"date":"2023-06-14T10:42:59","date_gmt":"2023-06-14T08:42:59","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27811"},"modified":"2023-06-14T12:05:31","modified_gmt":"2023-06-14T10:05:31","slug":"fingerprint-brute-force-android","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/fingerprint-brute-force-android\/27811\/","title":{"rendered":"BrutePrint: bypassare la protezione tramite impronta digitale dello smartphone"},"content":{"rendered":"

Il riconoscimento delle impronte digitali \u00e8 considerato un metodo di autenticazione abbastanza sicuro. Vengono di tanto in tanto pubblicate informazioni sui diversi modi per ingannare il sensore di impronte digitali<\/a>, ma tutti i metodi suggeriti in un modo o nell\u2019altro si riducono all\u2019imitazione fisica del dito del proprietario del telefono, sia che si utilizzi un cuscinetto in silicone o una stampa con inchiostro conduttivo<\/a>. Occorre ottenere un\u2019immagine di alta qualit\u00e0 di un dito, e non di un dito qualunque, ma di quello registrato nel sistema.<\/p>\n

In poche parole, tutti questi metodi sono in realt\u00e0 piuttosto macchinosi. Ma \u00e8 possibile farlo in modo pi\u00f9 elegante, rimanendo nel mondo puramente digitale e sfruttandone tutti i vantaggi? La risposta \u00e8 s\u00ec. I ricercatori cinesi Yu Chen e Yiling He hanno di recente pubblicato uno studio su come utilizzare un attacco di forza bruta su quasi tutti gli smartphone Android protetti tramite impronta digitale. Hanno chiamato l\u2019attacco BrutePrint<\/a>.<\/p>\n

Quanto sono univoche le impronte digitali?<\/h2>\n

Prima di esaminare brevemente il lavoro dei nostri colleghi cinesi, \u00e8 opportuno riproporre un po\u2019 di teoria. Tanto per cominciare, come forse saprai, le impronte digitali sono davvero univoche e non cambiano con l\u2019et\u00e0.<\/p>\n

Nel lontano 1892, lo scienziato inglese Sir Francis Galton pubblic\u00f2 un\u2019opera laconicamente intitolata Finger Prints<\/a> (Impronte digitali). In questo studio l\u2019autore riassunse i dati scientifici allora noti sulle impronte digitali e il lavoro di Galton ha gettato le basi teoriche per un ulteriore uso pratico delle impronte digitali in medicina legale.<\/p>\n

Tra le altre cose, Sir Francis Galton ha calcolato che la probabilit\u00e0 di corrispondenza delle impronte digitali era \u201cinferiore a 2<sup>36<\/sup>, ovvero di circa uno a sessantaquattromila milioni\u201d. Ancora oggi, gli esperti forensi si attengono a questo valore.<\/p>\n

Se l\u2019anatomia \u00e8 la tua passione o se vuoi saperne di pi\u00f9 sui fattori biologici all\u2019origine dell\u2019unicit\u00e0 delle impronte digitali, leggi questo nuovo studio<\/a> sull\u2019argomento.<\/p>\n

Quanto sono affidabili i sensori di impronte digitali?<\/h2>\n

Il lavoro di Sir Francis e tutto ci\u00f2 che ne \u00e8 derivato, tuttavia, si riferisce al mondo analogico, con argomenti come il rilevamento delle impronte digitali, il relativo confronto con quelle lasciate, ad esempio, sulla scena di un crimine e questo \u00e8 pi\u00f9 o meno tutto. Ma le cose sono un po\u2019 diverse nella realt\u00e0 digitale. La qualit\u00e0 della rappresentazione delle impronte digitali dipende da molteplici fattori: il tipo di sensore, le sue dimensioni e risoluzione e, in misura non trascurabile, gli algoritmi di post-elaborazione e corrispondenza delle \u201cimmagini\u201d.<\/p>\n

\"Confronto

Impronta digitale nella rappresentazione di Sir Francis Galton 150 anni fa (a sinistra) e del sensore ottico del tuo smartphone all\u2019avanguardia (a destra). Fonte<\/a> e fonte<\/a> .<\/p><\/div>\n

Naturalmente, gli sviluppatori devono fare in modo che il dispositivo sia a buon mercato (o nessuno lo comprer\u00e0), ottenere l\u2019autenticazione in una frazione di secondo (o essere sopraffatti dalle lamentele sulla bassa velocit\u00e0) ed evitare falsi negativi a tutti i costi (o l\u2019utente scarter\u00e0 del tutto l\u2019esperienza). Il risultato sono sistemi di autenticazione non molto accurati.<\/p>\n

In riferimento ai sensori utilizzati negli smartphone, vengono quindi citate cifre molto meno ottimistiche per la probabilit\u00e0 di corrispondenza del frammento di impronta digitale rispetto al famoso 1 a 64 miliardi. Ad esempio, Apple stima la probabilit\u00e0 di Touch ID<\/a> in 1 a 50.000. Si pu\u00f2 quindi presumere che per i modelli di sensori economici la probabilit\u00e0 si riduca ulteriormente della met\u00e0.<\/p>\n

Questo ci porta da miliardi a migliaia. Questo livello rientra gi\u00e0 nella portata degli attacchi di forza bruta<\/a>. Il potenziale hacker deve affrontare perci\u00f2 un solo ultimo ostacolo: il limite al numero di tentativi di riconoscimento dell\u2019impronta digitale. Normalmente ne sono consentiti solo cinque, seguiti da un periodo prolungato di blocco dell\u2019autenticazione tramite impronta digitale.<\/p>\n

Questo ostacolo pu\u00f2 essere superato? Yu Chen e Yiling He danno una risposta affermativa nel loro studio.<\/p>\n

BrutePrint: preparativi per un attacco di forza bruta su smartphone Android protetti con impronte digitali<\/h2>\n

Il metodo dei ricercatori si basa su un difetto nell\u2019implementazione del sensore di impronte digitali generico degli smartphone Android: nessuno dei modelli testati prevede il criptaggio del canale di comunicazione tra il sensore e il sistema. Questo apre l\u2019opportunit\u00e0 per un attacco MITM<\/a> al sistema di autenticazione: con un dispositivo connesso allo smartphone tramite la porta SPI della scheda madre, si possono sia intercettare i messaggi in arrivo dal sensore di impronte digitali, sia inviare i propri messaggi emulando il sensore di impronte digitali.<\/p>\n

I ricercatori hanno costruito un dispositivo con queste caratteristiche (pseudo-sensore) e lo hanno integrato con un gadget per il clic automatico sullo schermo del sensore dello smartphone. La parte del componente hardware \u00e8 stata cos\u00ec configurata per inviare pi\u00f9 immagini di impronte digitali agli smartphone in modalit\u00e0 automatica.<\/p>\n

\"Dispositivo

Dispositivo per un attacco di forza brutta al sistema di autenticazione delle impronte digitali. Fonte.<\/a><\/p><\/div>\n

Il processo prosegue poi con la preparazione di campioni di impronte digitali per l\u2019attacco di forza bruta. I ricercatori non rivelano la fonte del loro database di impronte digitali, limitandosi a speculazioni generali su come gli aggressori potrebbero ottenerlo (raccolte di ricerche, dati trapelati, database proprio).<\/p>\n

Come passaggio successivo, il database delle impronte digitali \u00e8 stato inviato a un sistema di intelligenza artificiale per generare una specie di dizionario di impronte digitali per massimizzare le prestazioni dell\u2019attacco di forza brutta. Le immagini delle impronte digitali sono state adattate dall\u2019intelligenza artificiale in modo da corrispondere a quelle generate dai sensori installati sugli smartphone partecipanti allo studio.<\/p>\n

\"Esempi

Le immagini restituite dai diversi tipi di sensori di impronte digitali sono piuttosto diverse. Fonte<\/a>.<\/p><\/div>\n

Le due vulnerabilit\u00e0 alla base di BrutePrint: Cancel-After-Match-Fail (CAMF) e Match-After-Lock (MAL)<\/h2>\n

L\u2019attacco BrutePrint sfrutta due vulnerabilit\u00e0. I ricercatori le hanno scoperte nella logica di base del framework di autenticazione delle impronte digitali che, a quanto pare, \u00e8 disponibile in tutti gli smartphone Android senza eccezioni. Le vulnerabilit\u00e0 sono state chiamate Cancel-After-Match-Fail (CAMF) e Match-After-Lock (MAL).<\/p>\n

La vulnerabilit\u00e0 Cancel-After-Match-Fail<\/h3>\n

Cancel-After-Match-Fail (CAMF)<\/strong> sfrutta due importanti caratteristiche del meccanismo di autenticazione delle impronte digitali. La prima \u00e8 il fatto che si basa sul multicampionamento, il che significa che ogni tentativo di autenticazione utilizza non solo una, ma una serie di due o quattro immagini di impronte digitali (a seconda del modello di smartphone). La seconda \u00e8 il fatto che, oltre a non riuscire<\/em> (fail), un tentativo di autenticazione pu\u00f2 anche portare a un errore<\/em> e, in questo caso, si ritorna all\u2019inizio.<\/p>\n

Ci\u00f2 consente di inviare una serie di immagini in modo che alla fine un frame pre-modificato attivi un errore. Pertanto, se una delle immagini della serie attiva una corrispondenza, l\u2019autenticazione verr\u00e0 eseguita con esito positivo. In caso contrario, il ciclo terminer\u00e0 con un errore, dopodich\u00e9 sar\u00e0 possibile inviare una nuova serie di immagini senza sprecare il prezioso tentativo.<\/p>\n

\"Diagramma

Come funziona Cancel-After-Match-Fail: l\u2019errore riporta al punto di partenza senza sprecare un tentativo. Fonte.<\/a><\/p><\/div>\n

La vulnerabilit\u00e0 Match-After-Lock<\/h3>\n

La seconda vulnerabilit\u00e0 \u00e8 Match-After-Lock (MAL)<\/strong>. La logica di autenticazione tramite impronta digitale prevede un periodo di blocco a seguito di un tentativo fallito, ma molti fornitori di smartphone non riescono ad implementare correttamente questa funzionalit\u00e0 nelle loro versioni di Android. Quindi, anche se l\u2019autenticazione tramite impronta digitale non \u00e8 possibile in modalit\u00e0 di blocco, \u00e8 comunque possibile inviare sempre pi\u00f9 nuove immagini, alle quali il sistema risponder\u00e0 comunque con una risposta di tipo \u201cvero\u201d o \u201cfalso\u201d. Questo significa che, una volta rilevata l\u2019immagine corretta, \u00e8 possibile utilizzarla non appena il sistema esce dal blocco, completando cos\u00ec l\u2019autenticazione.<\/p>\n

Attacchi che sfruttano le vulnerabilit\u00e0 Cancel-After-Match-Fail e Match-After-Lock<\/h2>\n

L\u2019attacco che sfrutta la prima vulnerabilit\u00e0 ha avuto successo per tutti gli smartphone testati con sistema Android autentico, ma per qualche motivo non ha funzionato con HarmonyOS.<\/a> La vulnerabilit\u00e0 Match-After-Lock \u00e8 stata sfruttata sugli smartphone Vivo e Xiaomi, nonch\u00e9 su entrambi i telefoni Huawei con HarmonyOS.<\/p>\n

\"Tabella

Tutti gli smartphone testati si sono rivelati vulnerabili ad almeno un attacco. Fonte.<\/a><\/p><\/div>\n

Tutti gli smartphone Android e HarmonyOS partecipanti allo studio sono risultati vulnerabili ad almeno uno degli attacchi descritti. Ci\u00f2 significa che tutti hanno consentito un numero indefinito di tentativi di autenticazione delle impronte digitali dannosi.<\/p>\n

Secondo lo studio, ci sono volute dalle 2,9 alle 13,9 ore per violare un sistema di autenticazione per smartphone Android con una sola impronta digitale registrata. Per gli smartphone con il numero massimo possibile di impronte registrate per un dato modello (quattro per Samsung, cinque per tutti gli altri), il tempo si \u00e8 invece notevolmente ridotto: per violarli sono state necessarie da 0,66 a 2,78 ore.<\/p>\n

\"Tempo

Probabilit\u00e0 di attacco BrutePrint riuscito in funzione del tempo trascorso: una sola impronta digitale registrata (linea continua) e il numero massimo di impronte digitali registrate (linea tratteggiata). Fonte<\/a>.<\/p><\/div>\n

E gli iPhone?<\/h2>\n

Il sistema Touch ID utilizzato negli iPhone si \u00e8 rivelato pi\u00f9 resistente a BrutePrint. Secondo lo studio, il vantaggio principale dell\u2019iPhone \u00e8 che la comunicazione tra il sensore di impronte digitali e il resto del sistema \u00e8 criptata. Non c\u2019\u00e8 quindi modo di intercettare o fornire al sistema un\u2019impronta predisposta su un dispositivo dotato di Touch ID.<\/p>\n

Lo studio sottolinea che gli iPhone possono essere parzialmente vulnerabili alle manipolazioni utilizzate per massimizzare il numero di possibili tentativi di riconoscimento delle impronte digitali. Tuttavia, non \u00e8 cos\u00ec brutto come potrebbe sembrare: mentre gli smartphone Android consentono una durata infinita dei tentativi, negli iPhone il numero di tentativi pu\u00f2 essere aumentato solo da 5 a 15.<\/p>\n

Gli utenti iOS possono quindi dormire sonni tranquilli: Touch ID \u00e8 molto pi\u00f9 affidabile dell\u2019autenticazione tramite impronta digitale utilizzata sia in Android che in HarmonyOS. Inoltre, al giorno d\u2019oggi la maggior parte dei modelli di iPhone utilizza comunque Face ID.<\/p>\n

Quanto \u00e8 pericoloso tutto ci\u00f2?<\/h2>\n

Anche i possessori di smartphone Android non dovrebbero preoccuparsi troppo di BrutePrint: nella pratica l\u2019attacco difficilmente rappresenta una minaccia grave. I motivi sono diversi:<\/p>\n