di Pierluigi Paganini*
È possibile ricavare un PIN da un selfie e usarlo come forma di autenticazione biometrica. A dimostrarlo è uno studio tedesco.
Quando discutiamo di autenticazione e possibili scenari futuri, consideriamo sicuri tutti i processi di autenticazione biometrica.
Basandosi su tale convinzione, i produttori stanno sfornando nuovi prodotti che consentono di autenticarsi sfiorando una tastiera o mostrando il proprio viso a una camera.
L’analisi delle impronte, della retina, della conformazione del palmo della mano possono essere usate per identificarci. Ma è davvero un’autenticazione sicura?
Lo studio tedesco: pin da selfie per autenticazione biometrica
Nel corso di una presentazione svolta a Londra nel corso di Biometrics 2015, il ricercatore tedesco Jan Krissler, aka Starbug, ha dimostrato che è possibile ricavare il PIN di una persona da un suo qualsiasi selfie!
Krissler in realtà ha mostrato molto altro, riuscendo a eludere la quasi totalità delle tecnologie biometriche oggi in uso.
Ma chi è Jan Krissler? Si tratta di un hacker divenuto famoso perché è riuscito a violare il sistema TouchID di Apple. In un altro esperimento, invece, è riuscito a ricavare le impronte digitali del ministro della Difesa Ursula von der Leyen da un’immagine ad alta risoluzione combinata con altre foto disponibili in rete.
Questa volta Starbug e i suoi colleghi sono riusciti a recuperare un’immagine riflessa dello schermo di uno smartphone dagli occhi del soggetto intento a scattare un selfie. Dall’immagine ad alta risoluzione è riuscito a recuperare il PIN dell’utente.
Ma l’esperto non si è fermato qui. Con la stessa tecnica Krissler è riuscito a recuperare i dati dell’iride del cancelliere tedesco Angela Merkel. In questo caso è partito da una foto scattata in una conferenza stampa.
Krissler ha confermato che è possibile usare un processo simile anche a partire da un’immagine ad alta risoluzione presa da una rivista. Una volta estratti i dati dell’iride, l’immagine può essere stampata su una lente a contatto utilizzabile per bypassare un sistema di autenticazione biometrica basato sull’iride dell’utente.
Starbug ha confermato che le impronte digitali e la tecnologia di riconoscimento facciale soffrono ancora questo tipo di problemi. Tutto questo nonostante rappresentino oggi “il 90% del valore del mercato dell’autenticazione biometrica“.
Tutto è falsificabile
L’esperto ha ottenere il sorprendente risultato con una fotocamera reflex digitale dotata di una lente da 200 ml. Krissler ha spiegato che è possibile catturare le impronte digitali anche con immagini prese a distanza, come nel caso del ministro tedesco della difesa.
Riassumendo, le immagini riprese da una certa distanza potrebbero essere usate per costruire impronte fittizie su lattice da utilizzare per l’autenticazione.
“Posso ingannare ogni sensore per impronte digitali in due ore”, ha affermato il ricercatore.
Parlando di riconoscimento facciale, Starbug ha spiegato che una semplice foto del volto degli utenti è sufficiente per violare molti sistemi.
Starbug infine ha elaborato un metodo anche per bypassare meccanismi di autenticazione basato su riconoscimento facciale 3D. L’esperto ha usato un modellino in cartapesta riproducendo i tratti salienti di un viso, un’operazione a suo dire molto complessa.
Il messaggio di Starbug è eloquente: i processi di autenticazione biometrica sono il futuro dell’autenticazione, ma devono essere ancora migliorati.
Chiudiamo con una curiosità: Starbug ha ammesso di usare Apple TouchID ogni giorno…
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef