L’implementazione del sistema del lettore di impronte digitali del Galaxy S5 lascia molto a desiderare ed è meno sicuro di soluzioni comparabili e già criticate sul mercato. Questa l’opinione espressa da Security Reseserch Labs, una realtà tedesca specializzata in analisi di sicurezza, un think thank che ha preso in considerazione e spesso scoperto falle in importanti sistemi, tra cui SIM card e POS.
Le considerazioni di SRL nascono a margine di un test svolto con il lettore di impronte del Samsung S5 e dalla constatazione che proprio come quello iPhone 5S, anche quello di Samsung può essere aggirato con impronte digitali false create usando uno stampo ricavato da una immagine della impronta lasciata sullo schermo. Non si tratta di un hack vero e proprio, ma della possibilità di poter accedere a determinate funzioni senza dover impostare un codice segreto o una password, purchè si sia in controllo del dispositivo e si disponga delle impronte digitali dell’utente, oltre che di una tecnologia non alla portata precisamente di tutti. Insomma, proprio come per iPhone 5S, riuscire ad ingannare il sensore di impronte digitali di un Galaxy S5 richiede risorse, capacità e parecchio tempo e non è certamente un’operazione che può essere compiuta da qualsiasi malintenzionato “casual”, ma da qualcuno altamente motivato e con significative risorse.
Nonostante tutto questo, ovvero nonostante dal punto di vista tecnico chi ha un Galaxy S5 non corra più rischi di chi ha un iPhone 5S, chi ha telefono Samsung ha qualche ragione in più di inquietudine. Samsung, infatti, al contrario di Apple, che consente di usare Touch ID solo per accedere alla schemata iniziale del telefono e agli acquisti su App Store, ha aperto il suo sistema biometrico a terze parti che possono sfruttarlo per abilitare acquisti o transazioni di denaro.
Questo significa che ad esempio una azienda come Payapal può autorizzare pagamenti con il semplice uso dell’impronta; in futuro Amazon potrebbe abilitare la sua app per l’acquisto senza password e Expedia consentire di pagare un viaggio o servizi in mobilità con il lettore di impronte digitali. Se questi avvenisse (e ci sono pochi dubbi sul fatto che avverrà vista la comodità della funzione) una volta compromesse le impronte digitali, un pirata che avesse avuto l’abilità e la fortuna di entrare in possesso di un telefono di un utente che ha registrato le sue credenziali con alcuni servizi chiave usando le impronte digitali, e fosse in qualche modo in grado di falsificare le impronte, potrebbe realmente provocare danni ingentissimi ad un conto bancario. Il rischio è moltiplicato dal fatto che, come si sente nel filmato, non esiste un limite, come invece esiste su iPhone, ai tentativi che si possono compiere con le false impronte digitali. In pratica l’hacker potrà tentare di sbloccare il telefono centinaia o migliaia di volte, fino a quando non sarà riuscito nell’impresa.
Se lo stesso hacker avesse accesso ad un iPhone 5s, non solo avrà solo cinque tentativi prima di vedersi presentare l’obbligatoria richiesta di una password, ma se anche riuscisse a scardinare le impronte digitali, potrebbe violare la privacy del possessore del telefono, fare chiamate gratis o comprare su App Store, ma se l’utente avrà usato accortezza nella scelta delle password (a cominciare da quella per Portachiavi iCloud), non potrà fare molto altro.
I rischi di chi ha un Galaxy S5 e si affida alle impronte digitali sono sottolineate da Security Reseserch Labs che definisce l’implementazione del lettore di impronte digitali di Samsung «qualche cosa che lascia molto a desiderare e solleva preoccupazioni aggiuntive rispetto ad altre già espresse su sistemi simili».
Paypal, per ora l’azienda più importante tra quelle che sfruttano il lettore di impronte del Galaxy S5, ha replicato sottolineando che la chiave crittografica usata per sbloccare l’accesso al conto può essere disattivata remotamente e che sono in atto contromisure di sicurezza antifrode che consentono di mettere rimedio ad eventuali incresciosi casi come quelli descritti da SRL. «Ma se qualche cosa dovesse accadere – dice Paypal – siete coperti da assicurazione»
h