Per semplificare la user experience dei suoi utenti, dall’iPhone X in poi la Apple ha rimosso il pulsante della schermata home e ha messo a punto una tecnologia di riconoscimento facciale per sbloccare l’iPhone (oltre al classico codice numerico a sei cifre).

Il nuovo Face ID biometrico utilizza una scansione 3D del viso come meccanismo per sbloccare il dispositivo (non una semplice foto dunque, come molti telefoni della concorrenza). Alcuni esperti, tuttavia, affermano a riguardo che Apple potrebbe esporre i propri utenti a gravi rischi per la sicurezza, con questo sistema. 

Face ID richiede che la persona guardi semplicemente il proprio telefono e riconosce automaticamente il viso dell’utente in pochissimo tempo, sbloccando tutte le funzioni del dispositivo. Sostituisce anche Touch ID per Apple Pay, data la sparizione del tasto dedicato alle impronte digitali.

Ciò significa che, anche per le transazioni, tutto ciò che un utente deve fare è guardare iPhone X per autorizzarle. 

«Con i nuovi melafonini, il tuo iPhone è bloccato fino a quando non lo guardi e ti riconosce. Niente è mai stato più semplice, naturale e senza sforzo»,

ha affermato il dirigente Apple, Phil Schiller, nel discorso di presentazione dell’iPhone X (primo di questa tipologia), aggiungendo che

«questo è il futuro: sbloccare i nostri smartphone e proteggere le nostre informazioni sensibili non è mai stato così semplice». 

Apple afferma che sbloccare un telefono tramite Face ID sarà molto più comodo rispetto allo sbloccarlo con le impronte digitali: ora gli utenti non dovranno preoccuparsi di mani bagnate e simili.  

Apple sta lavorando duramente per rendere i propri telefoni sempre più usabili per i suoi utenti. Tuttavia, l’utilizzo di Face ID sembra essere semplice al punto di sollevare molte questioni di sicurezza, almeno secondo affermato in questi anni da diversi esperti di sicurezza informatica. In passato, ci sono stati casi in cui una tecnologia di riconoscimento facciale è stata facilmente falsificata utilizzando semplici trucchi.

Nel 2009 i ricercatori di cyber security hanno dimostrato di poter falsificare il sistema di accesso basato sul riconoscimento facciale di alcuni laptop semplicemente usando una foto stampata posta davanti alla telecamera. Non solo: nel 2011, Android aveva una funzione di sblocco facciale che richiedeva alla persona di sbattere le palpebre davanti alla fotocamera prima che il telefono si sbloccasse da solo.

I ricercatori sono riusciti a bypassare la sicurezza di questo strumento con un piccolo effetto di Photoshop. 

«Non importa quanto sia comodo, Face ID può essere un meccanismo molto rischioso. Mentre le password sono private e, se necessario, possono essere protette con vari meccanismi, le tue impronte digitali e i dati biometrici, di contro, possono potenzialmente essere raccolte da qualsiasi luogo in quanto non puoi pretendere di indossare i guanti ovunque. Ora, con FaceID, il tuo unico mezzo di autenticazione è “sempre” disponibile»,

ha dichiarato Ankush Johar, direttore di BugsBounty.com, una piattaforma online di sicurezza per hacker etici e imprese. Johar ritiene che se un telefono può utilizzare una scansione a infrarossi per tracciare ogni centimetro del viso di un utente, potrebbe farlo in potenza anche qualsiasi altro hardware.

«Sarà sufficiente che qualcuno trovi un modo per riprodurre tale meccanismo per sabotare tutti i dispositivi»,

ha aggiunto a riguardo.  

«Gli scanner di impronte digitali possono essere violati in diversi modi, incluso l’uso di un pollice di plastica o di impronte digitali stampate in 3D. Anche Face Lock è stato facilmente bucato utilizzando una semplice foto ad alta risoluzione di un viso. Face ID afferma di utilizzare una scansione 3D ma, con l’avvento della stampa 3D, potrebbe essere possibile stampare un modello tridimensionale del tuo viso per sbloccare il dispositivo senza consenso»,

ha dichiarato a riguardo David Maciejak, direttore del team di ricerca sulla sicurezza di Fortinet, aggiungendo che «i telefoni Android hanno il riconoscimento facciale incorporato da molto tempo e la storia dimostra che tale sistema non è infallibile: può infatti essere aggirato facilmente». Analogamente a quanto sostenuto da Maciejak, Pradipto Chakrabarty della Computing Technology Industry Association (CompTIA) ha affermato che «in questa era di scansione iper-accurata, photoshopping, stampa a tre dimensioni e straordinaria manipolazione grafica, non sarebbe molto difficile per qualcuno trovare un modo per fabbricare e falsificare un volto». Ha però anche aggiunto che Apple fa un ottimo lavoro, in generale, con la sicurezza dei propri dispositivi e come questi siano solitamente migliori della maggior parte dei propri competitor.

«Per far funzionare Face ID, iPhone utilizza una funzione chiamata Secure Enclave. Ma cosa succederebbe se avvenisse qualcosa come la recente violazione simile a Equifax in cui una vulnerabilità in un software web ha portato al furto di un numero enorme di dati degli utenti? Se una cosa del genere accadesse con Face ID, i malintenzionati avranno molto più della tua password: avranno le informazioni biometriche»,

ha concluso.

La risposta di Cupertino...



La III Conferenza Nazionale sulla "Cybersecurity nelle infrastrutture critiche: tipologie di rischio e risposte di sistema", organizzato dal Partenariato cybersecurity privacy Tor Vergata ha avuto luogo il 20 gennaio 2020 presso l’Università degli Studi di Roma "Tor Vergata".

La Conferenza, introdotta dal prof. Orazio Schillaci, Rettore dell'Ateneo, è stata preceduta dal messaggio augurale del Ministro dell’Università e della Ricerca, prof. Gaetano Manfredi, seguita dal saluto istituzionale del Comandante delle Unità Speciali, Guardia di Finanza, Salvatore Tatta e dalla partecipazione del Sottosegretario di Stato alla Difesa, On. Angelo Tofalo.

L'evento era connesso alla presentazione della terza edizione del Master di II livello in "Competenze digitali per la protezione dei dati, la cybersecurity e la privacy" attivato dal 2017 dal Partenariato PP Tor Vergata.

Come ricordato nel mio intervento introduttivo, l’intento della Conferenza era quello di aprire un dibattito specifico sulle nozioni di rischio, impatto e danno conseguenti ad attacchi cibernetici nell'ambito delle 'infrastrutture critiche' e alla luce delle normative stringenti più recenti.

Le due Tavole rotonde della sessione del mattino e il seminario pomeridiano di cui diamo parzialmente conto nella documentazione che segue, hanno consentito di dialogare con l’ambito finanziario ed energetico (Banca d’Italia, ABI, Banca Intesa, Eni) e di sentire le proposte e le visioni di aziende impegnate a livello nazionale e internazionale nell'offerta di sicurezza.

Insieme, le proiezioni internazionali delle 'associazioni' di aziende Ecso, Confindustria digitale e Assonime, si sono arricchite delle visioni istituzionali del Ministero della Difesa (CIOC e CASD), della Polizia postale, dell’Autorità garante per la protezione dei dati personali, del MISE.

Per completare il quadro, gli ordini professionali implicati.

Buona lettura.

Elisabetta Zuanelli

Presidente CReSEC/Università degli Studi di Roma "Tor Vergata", Coordinatore del Partenariato per il Piano nazionale di formazione in Cybersecurity, Cyberthreat e Privacy, Direttore scientifico del Master "Competenze digitali per la protezione dei dati, la cybersecurity e la privacy".

Il programma

Il saluto del Ministro dell'Università e della Ricerca

 

Introduzione di Elisabetta Zuanelli

1a Tavola rotonda

"La gestione del rischio nelle Infrastrutture critiche: tra norme e compliance"

Presentazioni in pdf:

  1. intervento di Claudio Impenna, Capo del Servizio Supervisione sui Mercati e il Sistema dei Pagamenti, Banca d’Italia
  2. intervento di Fabio Martinelli, ECSO Vice Chairs e Senior Researcher presso il CNR
  3. intervento di Romano Stasi, Segretario Generale Consorzio ABI Lab

2a Tavola rotonda

"Danno e impatto nella cybersecurity: risposte di sistema"

Presentazioni in pdf:

  1. intervento di Salvatore Carrino, Senior Vice President e ICT Global Cyber Security, ENI
  2. intervento di Domenico De Angelis, Head of Group Guidance and Strategic Intelligence, Intesa Sanpaolo

Seminario aziendale

Presentazioni in pdf:

  1. introduzione di Ginevra Bruzzone, Assonime e LUISS School of European Political Economy
  2. intervento di Lorenzo Russo, Director Cyber Risk Services, Deloitte
  3. intervento di Antonio Capobianco, Chief Executive Officer, Fata Informatica
  4. intervento di Marco Conflitti, Head of Cybersecurity Central e Eastern Europe, Atos
  5. intervento di Aldo Di Mattia, Security Engineering Team Leader C/South, Fortinet
  6. intervento di Salvatore Marcis, Technical Director - Italy, Trend Micro
  7. intervento di Federico Santi, Security Practice Leader, DXC

Il seminario: rapporto di sintesi
Salvatore Gagliano e contributi di Massimo Boschi, Giuseppe Gualandris, Silano Mazzantini

Sessione plenaria: interventi programmati e presentazione dei risultati del Seminario

Intervento di Matteo Colombo, Presidente ASSO DPO


Seguici su facebook



Cyber Security UP

Supportiamo grandi aziende nell'information security management. Controlliamo in maniera intelligente e proattiva la sicurezza informatica della tua azienda grazie a un servizio di Cyber Security professionale.
Image
Image
Image

Vieni a trovarci

Vieni a trovarci nella nostra sede a Roma, in Via Tiburtina 912, CAP 00156, ROMA, dal Lunedì al Venerdì dalle ore 9:30 - 18:30
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490

Contattaci

Sempre disponibili, a tua completa disposizione
© 2021 Fata Informatica. Tutti i diritti riservati.
Utilizziamo i cookie per migliorare l'esperienza dell'utente e le funzioni del sito. Continuando la navigazione, accetti la nostra Informativa sui cookie.