Biometria por impressão digital não é garantia de segurança nos celulares

Grandes Nomes da Ciência: Jonas Salk
Vlog #01: A benção, tio!

Você aprendeu desde cedo que impressões digitais são únicas e mesmo gêmeos idênticos não possuem a mesma digital, e até muitas vezes a própria pessoa muda a digital com o passar do tempo. Muitos smartphones hoje possuem um leitor de impressão digital que, UAU!, funciona independente de como você coloca o dedo lá (ops), sendo que nem precisa pegar o dedo todo. Segurança excelente, certo? Dá até para se garantir com compras que usam sua digital como senha. O que pode ser mais seguro? Talvez colocar o celular sem bateria, quebrado, dentro de um cofre e atirar isso tudo na Fossa das Marianas. Infelizmente, como isso não é possível, podemos ficar tranquilo com o uso das digitais, certo?

Bem, tenho más notícias: pesquisadores acabaram de fazer o favor de deixar paranoicos mais paranoicos ainda (mesmo porque, até mesmo paranoicos têm inimigos). Segundo sua pesquisa, o recurso de usar digitais nos celulares não é tanta segurança assim quanto apregoam.

O dr. Nasir Memon é engenheiro químico (com ele a oração e a paz), pois os grandes problemas da Humanidade são resolvidos por químicos (ok, alguns desses problemas também são criados por químicos, mas disperso-me). Além de químico, o dr. Menon é matemático e professor do Departamento de Ciência da Computação da Universidade de Nova York. Sua especialidade é biometria forense, compressão de dados, segurança de redes, comportamento humano e aposto que é pra sala dele que ligam quando o ar-condicionado dá defeito ou instalar algum software versão Jack Sparrow.

Menon e seus colaboradores estudam como as coisas hoje fingem estar mais seguras, passando uma sensação que as pessoas não precisam se preocupar com seus dispositivos, pois nenhum dado poderá ser acessado. Esta falsa sensação de segurança pode ser pior do que se imagina quando não se sabe um pequeno detalhe sobre smartphones que usam sistema biométrico por impressão digital: eles são mais vulneráveis do que se pensa.

A vulnerabilidade reside no fato de que os sistemas de autenticação baseados em impressões digitais possuem pequenos sensores que armazenam impressões digitais parciais. Os pesquisadores descobriram que poderia haver semelhanças suficientes entre diferentes pessoas em termos de impressões parciais que se poderia criar uma “MasterPrint”, uma espécie de chave-mestra-digital.

Sim, eu sei, eu sei. Você está com cara de “mas e aquele lance que as pessoas só possuem uma impressão digital única?”. Sim, possuem, mas lembre-se que a área que efetivamente compreende o sensor é menor que seu dedo. Logo, o que o leitor digital lê é apenas uma determinada área do seu dedo, e não ele todo, diferente de muitos caixas eletrônicos que possuem uma área de leitura de digital bem maior. E isso vive me enchendo o saco porque, como no caso dos conectores USB, nunca se acerta a primeira vez.


Áreas de sua digital que são registradas pelo leitor biométrico

Por isso, seu celular pede várias vezes para você marcar com o dedo diferentes áreas de forma com que ele crie um pequeno banco de dados de trechos de sua digital. Se alguém tiver uma área no dedo com um trecho de ondulações semelhante a uma parte qualquer do seu dedo, PIMBA!, vai desbloquear o seu celular.

Achou isso ruim? Lembre-se que não é apenas UM DEDO que você registra. Smartphones modernos lhe dão a opção de registrar vários dedos diferentes em seu sistema de autenticação. A identidade é confirmada quando a impressão digital do usuário corresponde a qualquer uma das cópias parciais salvas. Estatisticamente, são muito mais áreas que poderão encontrar um semelhante por aí. Bem-vindo ao mundo do terror!

Como eu falei, não é o caso de ver as fotos vergonhosas que você tirou ao encher a caveira de cachaça para depois compartilhá-la no grupo de família do WhatsApp. Nos dias de hoje, ter acesso ao seu e-mail e dados pessoais está cada vez mais fácil de saber toda a sua vida.

Menon e seu pessoal analisaram 8.200 impressões digitais parciais. Usando o software comercial de verificação de impressões digitais, eles encontraram uma média de 92 MasterPrints (trechos de digitais que podem ser encontrados em dedos de diferentes pessoas) em potencial para cada lote aleatório de um montante de 800 impressões parciais. Segundo a definição de MasterPrint deles, basta uma correspondência de, pelo menos, 4% das outras impressões no lote amostrado.

Isso significa dizer que se testássemos um grupo de digitais, em 800 digitais, em 92 delas teríamos MasterPrints, ou seja, 11,5% de acerto. Com a velocidade de processamento de informações e coleta de dados, VOILÀ, é fácil eu pegar dados de outras pessoas, bastando ter acesso físico ao dispositivo. E, convenhamos, não é lá muito difícil isso, né?

Péra. Isso significa que qualquer punguistinha vagabundo que furtar meu celular, ou o bandidão que fizer arrastão no ônibus fará isso?

Não, né? Mas segurança de informação não se baseia em você pegando o Caxias-Barra da Tijuca às 5 da manhã para ir trabalhar de porteiro em algum condomínio. Imagine que roubem o celular de um diretor de alguma empreiteira para se ter acesso às suas informações?

Ok, isso não seria má ideia. Continuemos, entretanto.

Sistemas de segurança de informação sempre levam para o pior cenário possível, e não é aquele quadradinho (ou retângulo ou círculo) de um centímetro de lado que vai garantir a sua segurança. Porque, se formos levar para um teste mais agressivo, como no caso de analisar as digitais da própria equipe de pesquisa, foi-se obtido correspondências da ordem entre 26 e 65%, já que foram escaneadas muitas áreas de cada digital separadamente e quanto mais impressões digitais parciais, maior a chance de encontrar um compatível. Vê lá o que você anda guardando no seu celular ou pode sempre optar pela imagem de abertura.

A pesquisa foi publicada no periódico: IEEE Transactions on Information Forensics and Security

Grandes Nomes da Ciência: Jonas Salk
Vlog #01: A benção, tio!

Sobre André Carvalho

και γνωσεσθε την αληθειαν και η αληθεια ελευθερωσει υμας

Quer opinar? Ótimo! Mas leia primeiro a nossa Polí­tica de Comentários, para não reclamar depois. Todos os comentários necessitam aprovação para aparecerem. Não gostou? Só lamento!