Por anos, os celulares apostam na autenticação biométrica como forma de manter as informações seguras. No entanto, uma pesquisa divulgada pela Talos, braço de segurança digital da Cisco, mostra o quão eficaz pode ser uma impressão digital falsa para driblar essa proteção. Na verdade, a taxa de sucesso pode chegar a até 80%, segundo o experimento.
Antes de surtar com isso, é importante observar: todas as técnicas testadas pela Cisco dependem de acesso físico ao celular e de preparo prévio, o que significa que o ataque precisa ser direcionado. Isso significa que o criminoso precisa estar interessado especificamente no que está salvo no seu celular; isso normalmente só acontece com figuras de maior destaque, como políticos, juízes, jornalistas, advogados em ações de ciberespionagem, normalmente com o envolvimento de hackers patrocinados por governos.
Durante o experimento, os pesquisadores experimentaram as soluções de autenticação por leitura de impressão digital presentes em produtos da Apple, da Samsung, da Microsoft, da Huawei e em fechaduras digitais com recursos de biometria. Cada dispositivo passou por 20 tentativas de desbloqueio com um dedo falso, que teve sucesso em cerca de quatro de cinco oportunidades.
No entanto, o relato da Talos também mostra que foi profundamente difícil criar uma impressão digital falsa funcional, com meses de trabalho para obter uma que desse resultados positivos. Foram 50 moldes produzidos ao longo de vários meses, o que reforça que é necessário muito esforço para desbloquear um dispositivo, de forma que simplesmente não vale a pena desperdiçá-lo com um cidadão comum.
Os pesquisadores estimaram três hipóteses nas quais seria possível roubar a impressão digital de uma vítima em potencial. A primeira delas é praticamente impossível de ser aplicada em uma situação de vida real sem que a vítima perceba o ataque: criar um molde do dedo com argila.
As outras duas podem ser feitas de modo mais sutil. Em uma das situações, a vítima pressione seu dedo contra um leitor de digitais sem que ela saiba que a informação está sendo extraída com fins malignos. Se estamos falando de hackers patrocinados por governos, esse tipo de informação não é difícil de ser obtida em aeroportos, por exemplo, que podem exigir as impressões digitais dos visitantes. Também há casos de vazamentos de bancos de dados biométricos que podem expor o formato do dedo de uma vítima.
Por último, uma alternativa digna de filmes de espionagem é monitorar a vítima à distância e esperar que ela pressiona alguma superfície transparente para tirar uma foto da marca de suas impressões digitais. Isso inclui, por exemplo, um copo em um bar.
Com essa informação nas mãos, o cibercriminoso passa para transformar esses dados em um dedo falso, que pode ser feito com silicone. Para destravar os sensores capacitivos, que só funcionam com o reconhecimento da eletricidade natural do corpo humano, o dedo falso pode ser incrementado com alumínio e grafite para melhorar a condutividade.