A validação biométrica por meio de impressão digital é um dos principais recursos de segurança disponíveis para computadores e celulares, mas uma vulnerabilidade potencial foi descoberta.
Uma equipe com pesquisadores da China e dos Estados Unidos publicou um estudo no qual revelou ser possível roubar ou clonar uma impressão digital a partir do som feito pelas batidas dos dedos na tela.
Este ataque é chamado de PrintListener.
Os resultados obtidos mostram que seria impossível interceptar até 27,9% de dados parciais da impressão digital e 9,3% das digitais completas em até cinco tentativas com a configuração de segurança FAR (“Taxa de Aceitação Falsa”) mais alta de 0,01%.
Para isso, o estudo analisou os sons emitidos pelos dedos quando deslizam sobre a tela - cada movimento tem um padrão sonoro e a combinação de várias amostras poderia fornecer as informações necessárias para a interceptação.
Os dados seriam utilizados para a criação de ataques MasterPrints, uma espécie de impressão digital artificial que poderia se parecer com várias outras marcações reais e passar pelos mecanismos de verificação - uma espécie de "chave-mestra", porém com identificação biométrica.
De acordo com o artigo, o PrintListener "precisa apenas gravar o som de atrito da ponta dos dedos dos usuários e pode ser lançado se aproveitando de um grande número de redes sociais".
Normalmente, hackers usam fotos para esse tipo de golpe, mas os sons seriam uma possibilidade adicional a partir de testes em cenários reais, conforme indicam os pesquisadores.
A interceptação poderia ocorrer com qualquer aplicativo de comunicação que tem acesso ao microfone do celular: o estudo menciona o Discord, Skype e Microsoft Teams como alguns exemplos, mas é possível incluir basicamente qualquer ferramenta que permite chamadas de áudio e possui comandos para que alguém deslize dedos sobre a tela.
Com a ajuda de um spyware, hackers poderiam coletar as informações e tentar roubar a impressão digital.
Após capturar o som obtido por deslizar a tela, os padrões de áudio são processados e geram informações para o MasterPrint.
Vale ressaltar, no entanto, que o processo não é simples: envolve cancelamento de ruído, ampliação de dados e análise de espectrogramas até gerar os padrões biométricos.
Isso significa que, ao menos por enquanto, não há muito com o que se preocupar nesse sentido.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...