Galaxy S5: il lettore di impronte non è sicuro

Il lettore di impronte digitali integrato nel Samsung Galaxy S5 è vulnerabile e pertanto potenzialmente utilizzabile da un malintenzionato per ottenere l’accesso a un dispositivo teoricamente protetto. Lo ha scoperto l’azienda tedesca Security Research Labs, i cui ricercatori hanno anche fornito una dimostrazione della vulnerabilità attraverso un video.

Nel video, il team mostra la procedura attraverso cui lo scanner per le impronte digitali del Samsung Galaxy S5 potrebbe esser aggirato semplicemente utilizzando lo stesso trucchetto visto con il lettore dell’iPhone 5S. Ciò ha permesso loro di bypassare la sicurezza dello smartphone in pochi passi: «semplicemente riavviando il dispositivo, siamo stati in grado di portare il sistema ad accettare un numero illimitato di swype errati, senza richiedere agli utenti l’immissione di una password».

La vulnerabilità è però più grave rispetto a quella che caratterizzava lo scanner del melafonino di Apple, a causa dell’integrazione della soluzione Samsung in alcuni servizi come PayPal. Sottolineano infatti i ricercatori che «l’aspetto ancora più preoccupante è che l’impronta digitale sull’S5 può essere associata a conti bancari o applicazioni di pagamento sensibili come PayPal. Una volta beffato il sistema siamo sati in grado di ottenere il controllo completo dell’account, compreso l’accesso al trasferimento di denaro e agli acquisti».

In un’email a Ars Technica, Ben Schlabs – ricercatore presso SRLabs – ha dichiarato che «ci aspettavamo che saremmo stati in grado di falsificare lo scanner del Galaxy S5, ma speravo che sarebbe stata almeno una sfida. Questa funzione non offre niente di nuovo, salvo un rischio leggermente maggiore rispetto a questo già posto da alcuni dispositivi precedenti». Il problema risiede soprattutto nel fatto che lo smartphone Samsung non dispone di alcun meccanismo che richiede una password quando l’utente inserisce numerose impronte digitali scorrette e pertanto ancora più pericoloso per la sicurezza di chi ne possiede un’unità.

PayPal ha già fornito una dichiarazione ufficiale circa tale vulnerabilità spiegando che prenderà sul serio la problematica evidenziata da SRLabs, ma assicurando al contempo che l’integrazione del servizio con lo scanner di Samsung è progettata per tutelare l’utente dagli attacchi: «Lo scan sblocca una chiave crittografica sicura che serve come rimpiazzo della password del telefono. […] Possiamo semplicemente disattivare la chiave da un dispositivo perso o rubato e potete crearne una nuova. PayPal usa anche sofisticati strumenti per la gestione di rischi e frodi in modo da provare a impedire le frodi prima che si concretizzino. Tuttavia, nei rari casi in cui ciò avviene, siete coperti dalla nostra policy di protezione acquisti».