Android: lettori di impronte digitali non sicuri

Due ricercatori di FireEye hanno scoperto un’altra grave vulnerabilità in Android. Questa volta, il componente incriminato è il lettore di impronte digitali. Un malintenzionato potrebbe eseguire diversi tipi di attacchi, uno dei quali consente il furto dell’impronta memorizzata nel dispositivo. Il numero di smartphone che integrano un simile sensore è oggi piuttosto limitato, ma entro il 2019 oltre il 50% degli smartphone avrà un lettore di impronte.

Il riconoscimento delle impronte digitali viene considerata una tecnologia più sicura delle password. In realtà, una password può essere modificata, mentre l’impronta è sempre la stessa per tutta la vita. Un eventuale furto potrebbe quindi causare danni incalcolabili, poiché la lettura delle impronte viene utilizzata per eseguire varie operazioni, come sblocco del dispositivo e autorizzazione per i pagamenti mobile. Durante la conferenza Black Hat, Tao Wei e Yulong Zhang hanno mostrato quattro tipologie di attacco che sfruttano le vulnerabilità presenti nel Fingerprint Framework dei Samsung Galaxy S5 e HTC One Max.

Le informazioni associate all’impronta digitale non vengono conservate in un’area protetta del sistema operativo, ma solo facilmente accessibili. Fortunatamente, l’attacco richiede l’installazione di una ROM custom, quindi le probabilità di subire il furto delle impronte è minimo.

La vulnerabilità non è presente in Android 5.0 Lollipop. Samsung e HTC hanno già rilasciato una patch per la versione precedente del sistema operativo presente sui due dispositivi usati dai ricercatori. Il consiglio è installare solo app da fonti affidabili ed evitare il rooting dello smartphone. Il Touch ID dell’iPhone è più sicuro perché l’immagine dell’impronta è criptata.