Sicurezza

Lo scanner di impronte digitali del nuovo iPhone 5S non è invulnerabile

Dopo anni di attesa, fatti di rumors, conferme e smentite, ieri Apple ha fatto il grande annuncio in occasione della conferenza di presentazione dei nuovi iPhone. Finalmente, infatti, la funzione di riconoscimento tramite impronta digitale, battezzata da Apple con il nome di "Touch ID, sarà disponibile sui nuovi iPhone 5S, in vendita dal 20 settembre negli USA e a Dicembre da noi. Il sensore da 170 micron e in grado di rilevare 500 pixel per pollice, ed è posizionato a destra del tasto home presente sul display touch capacitivo.

Quest’ultimo è stato fisicamente aggiornato ad un vetro zaffiro più resistente per evitare danni dovuti a un uso eccessivo. Il sensore è in grado di scansionare la pelle a strati sub-epidermiche di un utente, così come la lettura dell'impronta digitale a 360 gradi. I proprietari del popolare cellulare possono comunque optare per il vecchio metodo del codice a quattro cifre per sbloccare i loro telefoni, ma gli utenti che decidono di utilizzare la funzione Touch ID saranno in grado di accedere al proprio dispositivo in modo più rapido, così come autorizzare transazioni da iTunes o App Store.

Nulla di nuovo sotto al sole? È vero, ma solo per gli addetti ai lavori. Chi non ha mai visto un dispositivo che legge le impronte per garantire l'accesso potrebbe pensare di aver davanti la soluzione a tutti i problemi di sicurezza.

In grado di gestire più di un'impronta digitale alla volta, i dati di Touch ID sono memorizzati solo sul dispositivo e non vengono mai registrati su altri server, tra cui quello di Apple. Ehsan Foroughi, Director of Research presso la società di consulenza di sicurezza Security Compass, ha dichiarato che Touch ID è una delle principali caratteristiche per la sicurezza del dispositivo, ma ha aggiunto che sarebbe meglio se beneficiasse dell'integrazione con una registrazione "fisica" in Gmail, Twitter, Facebook e altri siti web popolari. "I computer portatili di IBM hanno usano i lettori di impronte digitali da molto tempo, ma non fanno nulla di più che accedere velocemente ai dati presenti nel portatile", ha dichiarati Foroughi. "È lo stesso ora con questa tecnologia. Rende la protezione di base migliore perché alcune persone sono un po' pigre e non vogliono digitare un PIN di quattro cifre per sbloccare il proprio telefono. Insomma è solo più comodo, e probabilmente molti più utenti non lasceranno "libero accesso" al proprio iPhone come capita ora".

Per coloro che utilizzano il proprio iPhone per questioni importanti, Foroughi ha detto che sarebbe meglio  evitare di utilizzare la nuova funzione a causa di possibili bug e vulnerabilità nel software che gli aggressori potrebbero essere in grado di sfruttare. Ha anche espresso qualche preoccupazione per ciò che potrebbe accadere se il sensore venisse fisicamente danneggiato. E, quando si tratta di bypassare la sicurezza biometrica a tutti i costi, ci sono metodi un po' da film, ma veramente esistenti. Foroughi ha spiegato che gli hacker hanno trovato il modo di craccare anche questo sistema di protezione "catturando" le impronte digitali da lattine di soda, riproducendole su stampati di plastica per poi utilizzarle come reali impronte digitali. Un altro metodo piratesco consiste nel "congelamento" della memoria RAM presente sul dispositivo da cui si vogliono rubare i dati per mantenere il suo stato e poi installare tale RAM su un altro dispositivo.

"Per un utente normale, Touch ID è sicuro, ed è facile da usare", ha detto Foroughi, spiegando però ai possessori di iPhone di continuare ad utilizzare le applicazioni di monitoraggio e applicazioni di remote wiping come protezioni aggiuntive. Dave Aitel, amministratore delegato della società di software di sicurezza Immunity, ha detto di essere molto scettico a riguardo della nuova funzionalità. "Il lavoro di biometria in una configurazione di sicurezza a più livelli, è solo un ostacolo in più di che un hacker deve superare, ma non dovrebbe essere enfatizzata più di questo," ha detto. "L'altro punto da considerare è che è stato dimostrato che le impronte digitali non sono uniche per ogni individuo, quindi potrebbe capitare che chiunque (molto fortunato ci permettiamo di commentare – ndr) potrebbe accedere al dispositivo senza troppe complicazioni". Insomma, la tecnologia è stata annunciata ieri, ma i detrattori già non mancano. Di sicuro la chiusura di Aitel è un po’ campata in aria, ma l’apertura no: la verifica biometrica è solo un altro livello da bypassare e non va presentato come il sistema che garantisce l’inviolabilità del proprio smartphone.