In un’epoca prettamente dominata dalla rivoluzione digitale era ormai questione di tempo prima che il sistema del riconoscimento facciale soppiantasse il classico uso delle password, ma sembrerebbero esserci stati alcuni intoppi durante il percorso. L’esempio più recente è quello di Windows Hello, opzione di accesso biometrico implementata da Microsoft, che consente agli utenti di sbloccare i dispositivi utilizzando il proprio volto.
Ebbene, alcuni ricercatori dell’azienda tedesca SySS GmbH hanno scoperto che tale feature è altamente vulnerabile e può essere facilmente ingannata attraverso l’ausilio di una semplice fotografia stampata a bassa risoluzione. Abbiamo deciso di raccontarvi questo episodio nel dettaglio e di cosa possa rappresentare per il futuro della privacy nel nostro articolo di oggi.
Windows Hello: hackerato il sistema di riconoscimento facciale
Il riconoscimento facciale di Windows Hello, integrato di serie all’interno di Windows 10, usa speciali fotocamere con comunicazione a raggi infrarossi per indicare la differenza tra una fotografia o una scansione e una persona vera. Diversi fornitori offrono fotocamere esterne che incorporano questa tecnologia e i principali produttori forniscono già dispositivi integrati con la tecnologia di riconoscimento facciale. Attraverso il loro test, i ricercatori tedeschi hanno potuto mettere in crisi sia un Surface Pro 4 messo in commercio direttamente da Microsoft, sia un PC con una videocamera esterna LilBit, dimostrando che il problema rischia di non essere da poco. Questi ultimi hanno utilizzato come esempio la foto dell’amministratore del PC, riprodotta con una stampante laser a bassa risoluzione (340×340 pixel), modificata tenendo conto dello spettro dell’infrarosso e dimostrando la possibilità di ottenere accesso senza problemi su vari dispositivi con Windows e Windows Hello attivo. Le webcam si sono trovate di fronte il formato d’immagine che si aspettavano, hanno riconosciuto i tratti somatici di chi ha impostato l’account nel sistema e hanno dato il via libera al’operazione. L’attacco è possibile anche se l’utente ha attivato l’opzione avanzata di anti-spoofing nei dispositivi che la supportano, una funzione che, in teoria, dovrebbe garantire un migliore livello di prestazioni e protezione e distinguere tra una fotografia e una persona reale quando è eseguita la scansione delle caratteristiche del viso dell’utente. Ecco il video che testimonia quanto effettuato dai ricercatori tedeschi di SySS GmbH:
Il futuro della nostra privacy è a rischio?
I ricercatori di SySS fanno sapere che Microsoft ha distribuito la patch solo per le build 1703 e 1709 di Windows 10 ma non ancora per le build 16xx. Simili meccanismi per aggirare le protezioni sono stati dimostrati in altre occasioni anche per ingannare sui Galaxy S8 la scansione dell’iride, protezione indicata da Samsung come in grado di garantire la massima sicurezza. In questo caso, al soggetto-target è stata scattata una foto con una tradizionale fotocamera digitale, è stata ritagliata la parte degli occhi, stampati a grandezza naturale su un foglio, ed applicato uno strato per simulare la presenza di una lente a contatto (il trucco che inganna il sistema facendogli credere di essere alle prese con veri occhi). Usando questo sistema è stato possibile sbloccare lo smartphone con estrema facilità. Non sempre il sistema funziona alla prima stampa (è necessario dosare correttamente la luminosità dell’immagine stampata) ma è ad ogni modo una dimostrazione che lo sblocco è possibile.
Anche Face ID, la tecnologia di riconoscimento dei volti di Apple che proietta e analizza più di 30.000 punti invisibili per creare una mappa accurata (in 3D) del volto dell’utente, è stata hackerata attraverso l’uso di una maschera stampata. Apple stessa ha illustrato vari scenari nei quali è possibile ingannare Face ID e la necessità di fare attenzione a sue debolezze intrinseche. Le probabilità statistiche sono diverse nel caso, ad esempio, di gemelli o fratelli somiglianti e con i bambini di età inferiore ai 13 anni, che potrebbero non aver ancora sviluppato pienamente i tratti distintivi del volto. Insomma, queste vicende dovrebbero farci capire che forse non sia ancora giunto il momento di mandare in pensione la cara, vecchia password.