Come noto, la Black Hat Security Conference racchiude i migliori ricercatori di sicurezza del mondo, i quali sono soliti condividere i progressi ottenuti negli ultimi mesi attraverso le loro ricerche. Nell’edizione di quest’anno, i due ricercatori Tao Wei e Yulong Zhang hanno spiegato di aver scoperto almeno quattro vulnerabilità che potrebbero essere sfruttate da un hacker per raccogliere in remoto le impronte digitali di un dispositivo Android (in particolare Galaxy S5 e HTC One M9 Max).
Stando a quanto dichiarato da Zhang a ZDNet il Touch ID implementato da Apple sul proprio iPhone 6 è il sensore più sicuro sul mercato; riguardo i dispositivi Android, il ricercatore afferma:
I dati sulle impronte digitali delle vittime cadono direttamente nelle mani dell’attaccante. Per il resto della vita della vittima, il malintenzionato potrà continuare a usare i dati delle impronte a fini malevoli.
I problemi di sicurezza sarebbero dunque legati ad alcune falle presenti in Android – nota bene: Lollipop non supporta nativamente il sistema di autenticazione biometrica, le quali possono essere sfruttate per ottenere diversi risultati, dal bypassare l’autenticazione tramite impronta, sino alla ben più grave possibilità di autorizzare pagamenti o di clonare l’impronta dell’utente.
Tuttavia, queste falle di sicurezza non riguardano il Touch ID di iPhone 6 ed iPhone 5s, che risulta essere decisamente più blindato, in quanto tutti i dati vengono scambiati unicamente tramite chiavi criptate:
Anche se un hacker potesse leggere direttamente il sensore – ha spiegato Zhang – senza ottenere la chiave criptata non potrebbe catturare l’immagine dell’impronta.
I due dispositivi Android che hanno presentato le maggiori vulnerabilità risultano essere Samsung Galaxy S5 e HTC One Max su i quali è stato effettivamente testato. Alcuni produttori stanno provvedendo risolvere tale falla di sicurezza in Android.