Bypassare Touch ID è il nuovo sport preferito dagli hacker

Anche gli hackers hanno i loro trend. Da quando Apple ha introdotto Touch ID come una delle caratteristiche principali dell’iPhone 5S, abbiamo già assistito a vari tentativi (riusciti) di bypass della tecnologia.
Dopo l’esperimento del Chaos Computer Club (nome storico della scena underground europea), un’altro gruppo berlinese, il Security Research Lab, si è cimentato nell’impresa. Che viene venduta da parecchie pubblicazioni come semplice e riproducibile seppure presupponga una certa esperienza manuale e la disponibilità di attrezzature adatte.

security research lab

Come già aveva fatto il Chaos Computer Club, anche il SRL ha “dimostrato” che Touch ID si può bypassare a partire da un’impronta digitale recuperata dallo schermo del telefono.
Lo scopo di fondo è questo: dimostrare che un iPhone 5S che cade in mani sbagliate non è in-hackerabile a dispetto della presenza del sensore di impronte.

Il video dimostrativo sembra confermare l’ipotesi, ma come sempre in questi casi parecchie delle variabili che subentrerebbero nel mondo reale sono state decisamente semplificate se non escluse dall’equazione. E’ vero, basta una foto scattata con un iPhone 4S per rilevare l’impronta (e perché non dovrebbe essere così, viste le caratteristiche della fotocamera di quel modello di iPhone?) ma è pure vero che l’impronta utilizzata è perfetta e viene creata ad hoc sullo schermo, perfettamente pulito, dell’iPhone da violare. La variabile “dito utilizzato dal proprietario del telefono” viene semplicemente eliminata e si da per scontato di sapere a priori quale sia il dito da “replicare”.

Tutta la fase di creazione dell’impronta falsa, realizzata con della semplice colla vinilica, ha poi il difetto di essere spacciata come assai semplice. Sono sicuramente di facile reperimento le attrezzature utilizzate, ma lasciatemi dubitare che chiunque, senza aver mai realizzato questo processo, possa applicare la procedura senza errori e ottenere uno stampo funzionante.

Potremmo metterci a fare le pulci per ore a questo ed altri video analoghi ma non avrebbe senso e sarebbe anche sbagliato. Perché quello che fanno il CCC e il SRL è encomiabile e necessario. E’ il modo in cui i media riportano queste notizie (senza capirne i dettagli e spingendo l’acceleratore sull’aspetto sensazionalistico della violazione di sicurezza) il vero problema.

E’ il caso di dirlo ancora una volta, perché qualcuno potrebbe non averlo capito: Touch ID è più sicuro di un codice PIN? Non è detto, non sempre. Farà in modo che decine e decine di migliaia di utenti che non hanno mai utilizzato un codice di blocco o che hanno sempre evitato password difficili per la scomodità che comportano rendano un po’ più sicuro il proprio telefono? Decisamente sì.

[via]

Lascia un commento