Os sensores de impressão digital são considerados seguros, rápidos e práticos, mas não são infalíveis. É na percepção generalizada que se tem sobre a sua segurança que está o problema: sensores biométricos que permitem desbloquear instantaneamente o smartphone, fazer autenticação dentro de aplicações e realizar pagamentos tendem a ser vistos como opções mais seguras do que PINs ou palavras-passe tradicionais. No entanto também estes sensores podem ser contornados através da aplicação de certas técnicas. Estas podem ser mais ou menos sofisticadas entre si, mas servem para provar que ainda há limitações a considerar no uso de tecnologia biométrica.
Uma dessas técnicas recorre a impressões digitais falsas que utilizam padrões comuns a outras impressões digitais. Investigadores das Universidades de Nova Iorque e do Estado do Michigan, ambas norte-americanas, fizeram isto mesmo: através de simulações computadorizadas, os investigadores desenvolveram impressões artificiais capazes de combinar com as impressões usadas nos telefones em 65% dos casos. Contudo a percentagem de desbloqueios seria bastante inferior caso os mesmos testes fossem feitos em smartphones reais. Os resultados valem o que valem: não provam necessariamente que estamos perante uma ameaça significativa, mas mostram antes que existe a possibilidade futura de se poder tornar uma ameaça.
Devido ao seu tamanho reduzido a maioria dos sensores em smartphones não digitalizam uma impressão digital por inteiro, mas sim partes de uma impressão digital. Assim, quando um utilizador pressiona o dedo no sensor, basta que uma dessas impressões parciais seja reconhecida para desbloquear o telefone. Mas o facto de ser necessária a combinação de apenas uma dessas partes leva a que muitos utilizadores registem dezenas de diferentes impressões digitais nos seus smartphones. O que começou por se tratar de uma solução engenhosa para um problema causado pelo tamanho do sensor, acabou alternativamente por aumentar as probabilidades de uma combinação parcial ocorrer.
Apesar das impressões digitais permanecerem relativamente únicas entre si, os investigadores descobriram semelhanças suficientes com outras impressões diferentes para conseguirem criar ‘chaves-mestras’ capazes de simular as impressões digitais de muitas pessoas. O risco que uma situação destas apresenta resume-se a isto: é como haver dezenas de palavras-passe, mas o atacante só precisa de uma para ser bem-sucedido. Por esta lógica, caso um atacante criasse uma luva com uma impressão-mestra em cada dedo, obteria acesso em 40%-50% dos iPhones dentro das cinco tentativas permitidas antes do smartphone exigir um PIN.
Segundo a Apple, o TouchID do iPhone apresenta uma hipótese em 50 mil de combinar o dedo de outra pessoa. Em declarações ao The New York Times, um porta-voz da Apple, identificado como Ryan James, afirmou que a empresa testou várias formas de ataque durante o desenvolvimento do sistema Touch ID. É difícil, contudo, quantificar o nível real do risco que um ataque destes representa. Tanto a Apple como a Google mantêm secretos os detalhes sobre as suas tecnologias de leitura de impressões digitais. No entanto, no caso do Android, a possibilidade das dezenas de fabricantes actuais adaptarem o standard da Google às suas necessidades pode contribuir para reduzir o nível de segurança.
Existem fabricantes de smartphones a tentar perceber como evitar quebras de segurança nos seus sistemas. Algumas potenciais soluções procuram diferenciar um dedo real de um objecto sintético procurando elementos como transpiração ou padrões localizados em camadas mais profundas da pele. A Qualcomm, por exemplo, tem um sensor que recorre a ultrassons.
Embora as fabricantes de smartphones reconheçam que os sensores de impressão digital não são 100% imunes a quebras de segurança, também argumentam que a facilidade de desbloquear o telefone apenas com um toque significa que há mais utilizadores com funcionalidades de segurança activas. Coloca-se também o argumento de que a criação de uma impressão-mestra não se encontra ao alcance de qualquer potencial ladrão, já que os recursos necessários para a criação de uma ferramenta destas exigiria uma quantidade significativa de trabalho.
Uma medida capaz de atenuar o nível da ameaça poderia passar pela implementação de sensores de impressão digital maiores. Também é recomendável desligar a autenticação por impressão digital em aplicações mais sensíveis, especialmente em aplicações que movimentam dados bancários e financeiros.
Um sensor de impressões digitais maior consegue digitalizar uma impressão por inteiro, extraindo um número maior de características associadas a essa impressão, dificultando a capacidade de contornar o sistema de segurança. Para as fabricantes, a conveniência é o principal elemento a ser considerado na adopção de sensores destas dimensões: a autenticação parcial e as suas medidas reduzidas ajudam a manter o smartphone fino, compacto e elegante.
Vão surgindo outros métodos pelo caminho. Segundo um artigo do The Verge, investigadores da CITER conseguiram imprimir um molde em 3D desenvolvido a partir de uma imagem armazenada. Se o molde for preenchido com borracha, converte-se numa impressão digital de utilidade permanente. Em 2014, na conferência CCC, um investigador de segurança recorreu a esta técnica para criar um modelo funcional da impressão digital da Ministra da Defesa alemã, tendo por base uma fotografia de alta resolução da sua mão.
Em todos os casos, é necessária uma impressão digital para contornar um sistema destes. As más notícias são que até as impressões digitais podem ser roubadas. Só que, ao contrário de uma palavra-passe, uma impressão digital não pode ser alterada. Nas palavras do The Verge, “o roubo de uma única credencial cria uma vulnerabilidade para toda a vida”.
Fugas de informação relacionadas com impressões acarretam os seus próprios riscos. À medida que a recolha e armazenamento de impressões digitais se tornam mais comuns, logo mais vulneráveis, o roubo de credenciais destas pode ocorrer em diferentes escalas. Fotografias de alta resolução, ou até mesmo a recolha de impressões digitais deixadas em objectos, são cenários possíveis perante um cenário assim. Por enquanto ainda é raro um criminoso dar-se a tanto trabalho, mas este cenário poderá vir a tornar-se mais comum à medida que aumenta a nossa dependência de tecnologias biométricas.
Uma conclusão a retirar disto sugere que a segurança oferecida por um sensor biométrico está dependente do valor dos dados que pretendemos proteger. Para a protecção de dados confidenciais, que podem incluir dados financeiros, um sensor de impressões digitais pode representar uma quebra de segurança comparativamente a um PIN ou uma palavra-passe. No entanto, para salvaguardar mensagens de texto e fotografias poderá ser uma medida de segurança adequada.
Segundo dados divulgados em 2017 pela Counterpoint Market Research, em 2018 são esperadas expedições de mais de mil milhões de smartphones equipados com sensores de impressão digital, o que representa – simultaneamente – uma oportunidade e um novo desafio de segurança.
A grande questão que se coloca é se um sensor de impressões digitais apresenta um grau de segurança maior do que uma palavra-passe. Em termos de protecção, as palavras-passe estão sujeitas um número muito maior de ataques, fugas de informação e vulnerabilidades do que os sensores de impressões digitais – mesmo que as empresas tecnológicas se apressem a corrigir vulnerabilidades, continua a haver uma janela de oportunidade para os atacantes obterem os dados dos utilizadores. Uma solução potencialmente atenuadora neste sentido passa pela encriptação dos dados mais sensíveis.
No caso de um PIN, qualquer sistema com um número infinito de tentativas eventualmente acertará na combinação. Trata-se de uma questão de tempo, que pode ser atenuada por medidas adicionais de segurança (como no iPhone do atirador de San Bernardino, nos Estados Unidos, que após 10 tentativas falhadas estava programado para eliminar todos os dados do telefone).
Talvez se trate, por enquanto, de uma questão puramente contextual e dependente do grau de confidencialidade dos dados a proteger. No contexto certo, faz mais sentido proteger informação mediante um sensor de impressões digitais, enquanto que noutros contextos um PIN ou palavra-passe poderão ser mais eficazes. Em ambos os casos, são necessários recursos, tempo e trabalho para contornar ambos os sistemas.
Vale a pena mencionar que não existe um sistema biométrico de autenticação que seja universalmente superior. Nem sensores de impressão digital, nem scanners de íris, nem sistemas de reconhecimento facial. E que praticamente todos já foram contornados de uma forma ou outra. No entanto, em muitos casos essas tecnologias foram superadas em ambientes controlados, de laboratório, em condições mais difíceis de replicar em circunstâncias reais.
