Uma só impressão digital pode desbloquear vários smartphones, alertam investigadores
Uma equipa conseguiu desenvolver um conjunto de “impressões digitais mestras” capazes de enganar os sensores até 65% das vezes.
À semelhança de uma chave-mestra que abre qualquer porta, podem existir impressões digitais criadas artificialmente para desbloquear vários smartphones e fazer pagamentos. O alerta é de uma equipa de investigadores norte-americanos, que chama a atenção para características dos sensores nos aparelhos móveis modernos que os tornam vulneráveis aos chamados “ataques-dicionário”, em que um conjunto de impressões digitais (verdadeiras ou geradas artificialmente) podem ser introduzidas para tentar aceder a vários sistemas.
“Queríamos testar a possibilidade de gerar impressões digitais que funcionem como senhas-mestras que desbloqueiem um grande número de contas, ou que sejam muito comuns como ‘1234'", explica um dos autores do estudo, Arun Ross, ao PÚBLICO. A equipa de investigadores das universidades de Nova Iorque e do Michigan desenvolveu um conjunto destas impressões digitais capazes de enganar os sensores, em laboratório, até 65% das vezes. E uma "impressão-mestra" do género – que pode ser compatível com até 4,3% das impressões digitais da população – tem fortes implicações na segurança, adverte-se.
Nos últimos anos, empresas como a Apple e a Samsung têm incorporado leitores de impressões digitais como forma de acesso a vários dos seus smartphones. Alguns cartões de crédito, desenvolvidos pela empresa tecnológica Zwipe e pela MasterCard, também já têm sensores semelhantes. Até 2022, o mercado dos sensores de impressões digitais deve crescer 18,9%, valendo 8,85 mil milhões de dólares, segundo a consultora Markets and Markets.
A leitura de impressões digitais é um dos métodos de identificação humana mais utilizados pelas forças policiais e organizações de todo o mundo. A utilidade deve-se ao facto de estas marcas se manterem iguais ao longo da vida e de serem únicas de pessoa para pessoa. Porém, há um problema quando são utilizados em pequenos aparelhos electrónicos (como os smartphones): estes dispositivos têm sensores de dimensões muito reduzidas que apenas conseguem ler uma parte do dedo, e não a totalidade da impressão digital.
“A nossa maior motivação era estudar a perda do carácter distintivo da impressão digital de uma pessoa quando apenas uma pequena parte dela é utilizada para uma autenticação”, diz Arun Ross.
Como apenas imagens parciais de cada dedo são registadas de cada vez que o utilizador acede ao telemóvel, o aparelho cria uma colecção de imagens de partes distintas do dedo do utilizador durante o processo de configuração. Ou seja, quando o utilizador acede ao seu telemóvel basta que uma das muitas imagens no aparelho combine com a parte do dedo que o dispositivo consegue ler na altura. Para acelerar o processo de identificação, os utilizadores tendem ainda a configurar mais do que um dedo como chave de acesso ao aparelho.
“Os resultados do nosso trabalho devem ser utilizados para desenvolver sistemas de autenticação que utilizem impressões digitais parciais mais fidedignas”, explicam os investigadores. A equipa sugere aumentar a resolução dos sensores utilizados nos aparelhos, utilizar sistemas de fusão que tratem várias imagens parciais em simultâneo, ou desenvolver um sistema que leia informação adicional (por exemplo, a textura dos dedos humanos).
Em declarações ao The New York Times sobre este estudo, a Apple diz que a hipótese de acesso a um iPhone através de uma impressão digital fabricada, ou de outra pessoa, é de 1 em 50.000.
Os autores do estudo admitem que apesar das conclusões da investigação – que tem o objectivo de alertar os fabricantes para possíveis problemas de segurança – apontarem para essa possibilidade, o utilizador comum dificilmente consegue desbloquear um aparelho através de impressões digitais falsificadas. Não basta recriar uma impressão digital. “É preciso converter a impressão digital mestra num objecto físico (conhecidos como ‘spoofs’)”, explica Ross, aludindo a um processo técnico de grande exigência.
Ainda assim, o investigador conclui que os melhores sistemas de segurança são “esquemas multifactores, que combinam sistemas de acesso biométrico com senhas alfanuméricas."