Riconoscimento facciale, pratico e veloce ma non sicuro

Rubare e manipolare i dati biometrici per il riconoscimento facciale, visibili a tutti, può essere anche più facile di superare una password

La praticità del riconoscimento facciale per accedere a un dispositivo è troppo alta per metterne in discussione l’uso. Come segnalano i CyberArk Labs però, il prezzo da pagare potrebbe essere molto alto in particolare per chi usa Windows Hello.

È stata infatti scoperta una vulnerabilità della funzione grazie alla quale un hacker può superare senza grossi problemi il sistema di riconoscimento e accedere quindi a tutti i dati personali.

Microsoft ha comunque affrontato subito il problema è sviluppato prontamente una patch. La vicenda tuttavia, solleva una questione importante, ancora di più nel momento in cui si rincorrono le voci di un’estensione della tecnologia attualmente impiegata soprattutto su notebook e smartphone. Non è infatti da escludere, l’arrivo tra non molto del riconoscimento facciale anche sugli smartwatch.

Secondo Microsoft, l’85% degli utenti di Windows 10 utilizza Windows Hello per l’autenticazione senza password. Quindi, un’opportunità importante anche per i malintenzionati. Il team di ricerca di CyberArk non ha fatto fatica a identificatore un modo per manipolare questo sistema di riconoscimento facciale al quale baste solamente una fotocamera USB esterna e una foto della vittima.

Metterci la faccia può essere pericoloso

Importante sottolineare, anche se la ricerca in questione ha riguardato in particolare la funzione Microsoft, nessuna alternativa può dichiararsi sicura. In pratica, qualsiasi dispositivo con telecamera integrata utilizzata per il riconoscimento biometrico, può essere manipolata.

Caratteristica principale di Windows Hello, l’autenticazione biometrica sta registrando infatti una rapida adozione presso tutte le realtà, dato che le organizzazioni sono alla ricerca di soluzioni in grado di superare l’esigenza di password, proprio per aumentare i livelli di sicurezza. Sempre più spesso inoltre, è ormai presente anche sui prodotti consumer.

La biometria viene considerata al momento la via più indicata. Il sensore biometrico può però essere anche l’anello debole della catena, esponendo potenzialmente il sistema ad attacchi legati alla manipolazione dei dati sul dispositivo dell’obiettivo.

Non è difficile ingannare il sensore

Se il sistema operativo, in particolare Windows Hello, prende la sua decisione di autenticazione sulla base delle informazioni trasmesse da un sensore, la manipolazione di queste informazioni può portare ad un potenziale superamento dell’intero sistema di autenticazione.

Il flusso di autenticazione di tutto il sistema si basa sui dati raccolti dal sensore, nel caso specifico dalla telecamera, analizzati dal software di sicurezza e confrontati con quelli in archivio.

Sorge però il problema di usare dati in qualche modo noti a tutti, i tratti di una persona, invece di quelli presumibilmente riservati di una password. Di conseguenza, sfruttare il riconoscimento facciale per ottenere un accesso illecito non è quindi molto diverso dal furto di una password. Per assurdo, molto più accessibile poiché i dati sono già visibili.

La strada per riuscirci si sta rivelando più semplice del previsto. Secondo i test condotti dai CyberArk Labs, Windows Hello considera attendibili fonti di dati esterne, potenzialmente in grado quindi di essere manipolate. Una potenziale soluzione tuttavia è già chiara, verificare meglio l’origine dell’immagine davanti alla telecamera. Sviluppare cioè soluzioni in grado di verificare l’effettiva presenza di una persona prima di procedere al riconoscimento facciale.