Quanto è sicuro il riconoscimento biometrico sugli smartphone? Un test apre a utili riflessioni
2024-2-1 01:31:46 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏

i consigli

Un recente test condotto da Altroconsumo ha rivelato vulnerabilità significative nel riconoscimento facciale, aprendo la porta a potenziali violazioni della privacy e rischi economici per gli utenti. Ecco le strategie di difesa e i consigli pratici per proteggere i dati personali sugli smartphone in situazioni a rischio

Pubblicato il 31 Gen 2024

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Con una sempre maggiore integrazione degli smartphone nelle nostre vite, la sicurezza biometrica è diventata una caratteristica fondamentale per la protezione dei dati personali su questi dispositivi.

Tuttavia, un recente test condotto da Altroconsumo ha rivelato che il riconoscimento facciale, un sistema di sicurezza biometrico ampiamente diffuso, presenta vulnerabilità significative su diversi modelli di smartphone.

Vulnerabilità nel riconoscimento facciale di alcuni smartphone

Il test ha coinvolto 59 modelli di smartphone analizzati negli ultimi 12 mesi e i risultati sono stati sorprendenti. Il 25,4% di essi ha fallito il test di sicurezza a causa di una falla nel riconoscimento facciale. In particolare, 15 modelli, compresi alcuni di fascia alta, sono stati sbloccati con successo utilizzando una semplice fotografia del volto precedentemente registrato sul dispositivo.

Business Continuity: come conciliare costi e performance

I modelli a rischio per Altroconsumo

Non superano la prova di Altroconsumo:

  • Motorola e22 e g72
  • Nokia g60
  • Oppo A 57
  • Poco M5 e x5 pro
  • Vivo y76
  • Xiaomi 12, 13 (diverse versioni)

Questo solleva preoccupazioni sulla fiducia degli utenti nel “face unlock” come metodo sicuro di protezione dei loro dati sensibili. L’accesso non autorizzato tramite una foto potrebbe passare inosservato al proprietario del dispositivo, aprendo la porta a potenziali violazioni della privacy e rischi economici.

L’Istituto europeo per gli standard nella telecomunicazione ha stabilito norme per lo sblocco biometrico, indicando che i sistemi di riconoscimento facciale in 2D non dovrebbero essere ingannati più di una volta su 50.000 accessi. Tuttavia, il test di Altroconsumo ha sollevato dubbi sul fatto che alcuni telefoni non soddisfino questo standard, aprendo la strada a possibili rischi per la sicurezza personale.

“Per es. l’iPhone richiede già un viso in 3d, non basta una foto”, dice a CyberSecurity360 Paolo Dal Checco, esperto di sicurezza e informatica forense.

Superano la prova

Superano la prova Samsung S23 Ultra, iPhone Pro Max e Oppo A 78 5G.

Non sono stati provati altri modelli Samsung, Apple; “né si può sapere se con tentativi più approfonditi non sia possibile ingannare anche il riconoscimento facciale di questi brand.

Cosa si può fare per prevenire

Dinanzi a queste vulnerabilità, Altroconsumo consiglia agli utenti di considerare alternative più sicure, come l‘utilizzo del sensore di impronte digitali, password o pin più sicuri e l’attivazione di protezioni aggiuntive sulle app sensibili.

Dal Checco ha evidenziato però la possibilità di abusi anche del sensore di impronte in specifici contesti, come quello coniugale o in situazioni giudiziarie. L’esperto suggerisce la disattivazione temporanea della biometria prima di situazioni rischiose, come durante il sonno o in luoghi ostili, per prevenire accessi non autorizzati.

In particolari contesti – in quello coniugale, principalmente, ma anche in alcuni paesi in ambito di Polizia Giudiziaria – il riconoscimento biometrico può essere abusato e diventare una porta di accesso al dispositivo contro la volontà del suo proprietario, soprattutto quello tramite impronte digitali.

Si pensi, ad esempio, a una persona che sta dormendo e alla facilità con cui il o la convivente possono prendere lo smartphone lasciato magari sul comodino e sbloccarlo semplicemente appoggiando l‘impronta digitale sul sensore, avendo così accesso ai dati presenti sul dispositivo e potendo tra l’altro clonare le chat WhatsApp su di un altro dispositivo tramite Whatsapp Web o Dispositivi Collegati, così da rimanere costantemente aggiornati sulle comunicazioni della vittima senza bisogno di ripetere nuovamente l’attacco.

Con il riconoscimento del volto questo rischio risulta altamente ridotto perché da alcuni anni i sistemi di rilevamento richiedono che il soggetto abbia gli occhi ben aperti.

Anche in ambito di Polizia Giudiziaria, in alcuni paesi con minori garanzie in ambito di Giustizia rispetto al nostro, è possibile che un sospettato sia obbligato a sbloccare il proprio dispositivo con impronta digitale o riconoscimento visivo: talvolta, ad esempio, può accadere anche in aeroporti sempre di paesi meno tutelanti durante i controlli.

Prevenire questo attacco è piuttosto semplice: è infatti sufficiente, quando ci si accinge ad andare a dormire oppure si entra in un territorio ostile, disattivare temporaneamente il riconoscimento biometrico. Per farlo è possibile sia riavviare il dispositivo (ma si rischierebbe poi di non poter visionare i dettagli dei chiamanti, in caso di telefonata, oppure altri elementi utili) o ancora più facilmente tenendo premuto su iPhone il pulsante di accensione e quello di riduzione del volume oppure premendo cinque volte il pulsante di accensione.

Senza dover fare ulteriori azioni, il telefono disabilita immediatamente il riconoscimento visivo o tramite impronta, richiedendo esclusivamente il PIN o la password per poter essere sbloccato.

Allo stesso modo, su Android è possibile disattivare la biometria passando in modalità di blocco tenendo premuto per qualche secondo il pulsante di accensione e premendo sul tasto “lockdown”.

Anche in questo caso, lo smartphone funzionerà perfettamente, ricevendo telefonate, messaggi o altro ma richiederà l’inserimento di password o PIN per l’accesso.

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/quanto-e-sicuro-il-riconoscimento-biometrico-sugli-smartphone-un-test-apre-a-utili-riflessioni/
如有侵权请联系:admin#unsafe.sh