Samsung Galaxy S5 non è sicuro: lo scanner che rileva le impronte digitali è stato violato. Basta un metodo semplice come quello della riproduzione dei polpastrelli dell’utente (con il famoso metodo alla CSI, vedi dopo il salto) per andare a ovviare alla barriera della password biometrica. In realtà il problema è molto più grave di quanto possa sembrare di primo acchito perché non si tratta solo di entrare nel cellulare e dunque accedere a contenuti privati o dati sensibili, ma si può addirittura usare il terminale come una carta di credito andando a effettuare acquisti su PayPal dato che – grazie all’accordo con Samsung – basterà solo la lettura delle impronte per portare a termine acquisti e non serviranno password né credenziali d’accesso.
Come mostrato nel video qui sopra, realizzato dagli esperti di sicurezza SRLabs (Security Research Labs) sarà sufficiente una riproduzione in silicone del polpastrello per trasferire denaro dal conto PayPal a un altro conto oppure per pagare oggetti. I clienti sono infatti abilitati a usare semplicemente l’impronta digitale senza dover immettere password o dati d’accesso, grazie alla funzione offerta dal software FIDO Ready che consente la comunicazione sicura e protetta del sensore sul dispositivo e il servizio di PayPal nel cloud. Tutto molto bello, peccato che questa “cassaforte” si possa aprire con un metodo piuttosto semplice da ottenere. Come si fa a clonare l’impronta?
Serve catturarla in qualche modo, ad esempio fotografando in alta risoluzione (con una buona fotocamera digitale) un’impronta lasciata dal proprietario ad esempio su un bicchiere. Successivamente l’impronta dev’essere trasferita su un materiale come silicone o colla che si può lavorare e poi usare senza deformarlo. Ci sono metodi più raffinati con apposite stampanti o altri più empirici ad esempio usando un foglio velina e calcando sul materiale ancora molle con una penna riproducendo le linee dell’impronta. Dopo di che basterà strofinare il polpastrello fasullo sul lettore e il gioco sarà fatto.
[npgallery id=11885]
Certo, non è così semplice, ma è possibile e fattibile e magari l’utente potrebbe non accorgersi subito della truffa, soprattutto se questa avviene senza rubare il telefono, ma sfruttando un’assenza dello stesso proprietario. Non è che se un metodo è difficile da mettere in pratica diventa automaticamente meno pericoloso. Al contrario basta che un metodo ci sia per mettere in allarme chi fornisce un servizio venduto come sicuro mentre al contrario è “corruttibile”. Ora sia Samsung sia PayPal dovranno correre ai ripari, magari mettendo comunque l’obbligo di una password da associare all’impronta. Correggeranno, ma la figuraccia e la frittata sono ormai state fatte, soprattutto perché è una delle funzionalità sulle quali il produttore ha puntato forte al momento della presentazione del nuovo Samsung Galaxy S5.
