lunedì 23 settembre 2013

Apple TouchID: sicuro o insicuro?

Di recente si è fatto un gran parlare della nuova tecnologia TouchID presente nell'iPhone 5s di Apple. Questo sistema permette di sbloccare il proprio telefono e di effettuare acquisti su App Store usando l'impronta digitale al posto del PIN, rispettivamente della password.

In tanti criticano questo sistema, dicendo che è pieno di falle, e che è facilmente aggirabile. Infatti, il Chaos Computer Club tedesco ha annunciato di essere riuscito a bypassare il sistema producendo impronte digitali clonate.

Subito i critici si sono buttati su questa notizia, definendo "facile" scavalcare il lettore di impronte di Apple.

Ora, è necessario contestualizzare. Sì, vero, aggirare questa protezione è senz'altro fattibile. Ma diamo un'occhiata alla procedura. Si tratta di trovare un'impronta digitale (o meglio, i residui di grasso), visualizzare l'impronta con polvere di grafite, fotografare l'impronta ad alta risoluzione con una macchina fotografica, sistemare l'impronta con un programma di grafica, stampare l'impronta su un lucido, ricoprire la stampa con della colla per legno, e infine sollevare il calco che si sarà formato nella colla per poi appiccicarselo sul dito. Ecco, a questo punto lo si potrà utilizzare per sbloccare il telefono della vittima. Facile no?

Beh, dipende dai punti di vista. Sicuramente non è "aspetta che prendo una macchina fotografica, ti fotografo l'impronta, la stampo e ti sblocco l'iPhone". Richiede comunque un certo impegno, con relativo dispendio di tempo, che una persona normale (o il criminale occasionale) probabilmente non investirebbe.

Ritengo che gli articoli troppo critici sull'argomento vadano a parare nella direzione sbagliata, quasi "spaventando" la gente, facendo loro credere che TouchID in fondo fa più male che bene. Ora, è vero che chi custodisce nel proprio iPhone dei segreti degni di tale nome (che so io, trade secrets di UBS o Nestlé) non debba usare TouchID come unico mezzo di protezione. Ma è altrettanto vero che chi custodisce nel proprio telefono questi segreti (non sarebbe forse meglio non farlo del tutto?), ha a sua disposizione un team di esperti di sicurezza che gli spiegherà cosa fare o non fare con questi segreti e con i suoi dispositivi.

In realtà TouchID è rivolto al normale utente privato o PMI. Nella situazione occasionale che presenterebbe la tipica breccia di sicurezza (la perdita o il furto dell'iPhone da parte di un ladruncolo di strada, oppure un amico che vuole fare uno scherzo), TouchID è la protezione perfetta. Difatti, chi trova un iPhone per strada, o lo ruba, non si metterà sicuramente a fotografare impronte, siccome non gli interessano i dati contenuti nel telefono, ma piuttosto il valore monetario del telefono stesso (da rivendere o da utilizzare). Cosa peraltro diventata più difficile, visto che un dispositivo con iOS 7 non è più resettabile (se è attivata l'apposita funzione) se non inserendo la password iCloud/AppleID del legittimo proprietario, rendendo di fatto senza valore il dispositivo rubato.

La protezione del dispositivo tramite TouchID è interessante per chi vuole avere una "moderata certezza" che perdendo il telefono, o facendoselo rubare, un estraneo non autorizzato non si metta a leggere o cancellare email, account di social network e quant'altro. E TouchID questa sicurezza la garantisce con un grado piuttosto elevato.

Come tutti i lettori di impronte digitali, anche TouchID di Apple permette ad un malintenzionato di accedere, se costui è abbastanza determinato. Ma ci si deve chiedere in quali situazioni questo possa realisticamente avvenire. Nelle situazioni quotidiane, è pura fantascienza. Piuttosto andrebbe detto che TouchID è un notevole incremento della sicurezza, soprattutto per quelle persone che oggi, per pigrizia, non usano nemmeno il PIN. Peraltro, leggere casualmente il PIN dalla tastiera altrui risulta molto più facile che mettersi a clonare impronte.

Certo, è giusto rendere attenti che non si tratta di una sicurezza assoluta. Chi custodisce nel proprio telefono dati estremamente sensibili, è bene che non si affidi unicamente a TouchID. Ma il cittadino medio non può che trarne vantaggi.