Tratto dallo speciale:

Sicurezza: bocciato il riconoscimento facciale

di Sonia Ferretti

Pubblicato 27 Aprile 2009
Aggiornato 12 Febbraio 2018 20:48

logo PMI+ logo PMI+

Le tecnologie per il riconoscimento facciale sono l’ultima proposta implementata da numerosi vendor per proteggere i dati dei computer da utenti malintenzionati.

Purtroppo, durante la Black Hat DC Conference 2009, l’evento di sicurezza informatica che ogni anno attira migliaia di visitatori e professionisti del settore security, 3 ricercatori vietnamiti che hanno svolto analisi sui riconoscimenti facciali dei laptop Lenovo, Asus e Toshiba hanno reputato questi sistemi “fallati”.

Tutti i sistemi analizzati utilizzano una webcam integrata ed un software apposito in grado di riconoscere l’utente dal suo viso allo scopo di permettergli così di accedere ai suoi dati senza digitare alcuna password.

Durante il convegno è stata fatta una dimostrazione di come, per “exploitare” il sistema, basterebbero un po’ di buone fotografie, condizioni di luce opportune e un po’ di pazienza.

Attualmente un utente malintenzionato potrebbe produrre una falsa fotografia riuscendo a procurarla attraverso internet o usando sofisticati ma popolari sistemi.

Alcuni esempi:

– Webcam chat (MSN, Yahoo Messenger, AOL, Skype, …)
– Ricerca su Internet, specialmente su sito web personale o un blog che si avvalgono di
Tecnologie Web 2.0 (Flickr, Yahoo Blog, Facebook …).
– Uso della fotocamera con il tele-obiettivo.
– Un Hacker chiede di scattare una foto con lui direttamente.
– E molti altri metodi …

Una volta in possesso della foto l’hacker dovrebbe crearne molte copie con diversa luminosità  e visuale. Questo è facile da fare con l’ausilio degli attuali programmi in circolazione.

Gli autori hanno così concluso la documentazione: “Lo scopo principale del documento è quello di fornire prove sufficienti sul fatto che le tecnologie utilizzate per l’autenticazione da questi tre produttori non sono efficienti e sufficientemente sicure in quanto tendono a essere aggirate mettendo i dati degli utenti in grave pericolo.”