Corneal Key Logger: estrarre il PIN di uno smartphone da una selfie

Che cosa ha mostrato Starbug

Jan Krissler, conosciuto come Starbug, è un ricercatore che ha dimostrato più volte vulnerabilità nelle tecnologie biometriche. Tra i suoi risultati: la riproduzione di un’impronta digitale da una foto ad alta risoluzione e la dimostrazione che riflessi nello strato corneale dell’occhio possono contenere informazioni utili, come l’immagine di uno schermo di smartphone. In una presentazione al convegno Biometrics 2015 a Londra, Krissler e colleghi hanno spiegato come estrarre il PIN di un telefono da una selfie.

Hanno anche mostrato tecniche per fotografare iridi a elevata risoluzione e per stampare pattern iris su superfici (anche usando stampanti comuni) per attacchi contro sistemi biometrici.

Come funziona l’attacco (mini‑metodologia)

1. Acquisizione: ottenere una foto ad alta risoluzione della vittima (selfie, teleobiettivo, foto da pubblico). I riflessi sullo strato corneale contengono immagini speculari dello schermo.
2. Isolamento: ritagliare le aree dell’occhio (bianco e cornea) e migliorare contrasto e nitidezza.
3. Ricostruzione: applicare algoritmi di super‑risoluzione e stitching per ottenere una vista degli elementi sullo schermo (numpad, layout).
4. Inferenza: mappare i punti luminosi/reflessi sui tasti numerici e ricostruire la sequenza di pressioni (PIN).
5. Validazione: testare le combinazioni ricostruite sul dispositivo o simulatore.

Questa è una descrizione ad alto livello: richiede foto molto nitide, angoli favorevoli e capacità di elaborazione dell’immagine.

Perché funziona

• La cornea è lucida e genera un riflesso nitido dello scenario davanti all’utente.
• Teleobiettivi e sensori moderni consentono di catturare dettagli minuti a distanza.
• Interazioni su schermo (tasti, luci) generano pattern riconoscibili.

Importante: non tutte le selfie permetteranno l’attacco. Serve risoluzione e condizioni ottimali.

Contromisure pratiche per ridurre il rischio

• Evitare selfie o foto ad alta risoluzione in cui lo schermo è visibile di fronte al volto.
• Usare schermature fisiche (privacy screen) e ridurre la luminosità dello schermo quando possibile.
• Preferire sistemi di sblocco multi‑fattore (PIN + token o password) invece di affidarsi solo a biometria.
• Per dispositivi sensibili, adottare timeout rapidi e blocchi dopo tentativi falliti.
• Per le imprese: limitare la pubblicazione di foto ufficiali ad alta risoluzione e rimuovere metadata EXIF.

Quando l’attacco fallisce (controesempi)

• Foto a bassa risoluzione: dettagli persi rendono impossibile riconoscere il layout dei tasti.
• Angoli sfavorevoli: se la cornea non riflette lo schermo o è parzialmente occlusa.
• Condizioni di luce che saturano o nascondono i riflessi.
• Schermi con layout dinamico o input tramite meccanismi alternativi (es. autenticazione fisica a due fattori).

Rischi, impatto e mitigazioni (matrice qualitativa)

• Rischio: esposizione del PIN tramite foto → Impatto: alto per account finanziari; Mitigazioni: 2FA, privacy photo policy.
• Rischio: replay/replica iris/impronta → Impatto: alto su sistemi biometrici non resilienti; Mitigazioni: liveness detection robusta, sensori multimodali.
• Rischio: ripresa a distanza di impronte → Impatto: medio; Mitigazioni: evitare superfici esposte e pulire frequentemente.

Checklist per ruoli (azione rapida)

• Utente privato:

  • Non pubblicare selfie con schermo visibile.
  • Abilita 2FA ove possibile.
  • Usa password robuste.

• Sviluppatore di app di autenticazione:

  • Implementa rate limiting e monitoraggio anomalo.
  • Supporta fallback crittografici (PIN + token hardware).
  • Integra liveness detection e segnala tentativi sospetti.

• Responsabile sicurezza aziendale:

  • Politiche di pubblicazione foto per dirigenti.
  • Addestra il personale sul rischio dei riflessi.
  • Test di penetrazione mirati ai sistemi biometrici.

Esempio di playbook per incidente (breve)

1. Isolare account coinvolti e forzare reset PIN/password.
2. Disabilitare temporaneamente l’accesso biometrico sensibile.
3. Raccogliere e conservare le immagini sospette come evidenza.
4. Valutare l’impatto su sistemi collegati (pagamenti, accessi fisici).
5. Comunicare breach agli utenti interessati e suggerire 2FA.

Alcuni limiti tecnici e considerazioni etiche

• Attacchi di questo tipo richiedono risorse: fotocamere di alta qualità e competenze di image processing.
• C’è una zona grigia etica nella raccolta e nell’analisi di immagini pubbliche o private.
• Le dimostrazioni di ricerca servono a sensibilizzare; le contromisure tecnologiche devono migliorare.

Glossario (1 linea per termine)

• Cornea: superficie anteriore dell’occhio che riflette la scena davanti all’utente.
• Liveness detection: tecniche che verificano se il campione biometrico proviene da una persona reale.
• Super‑risoluzione: algoritmo che ricostruisce dettagli più nitidi da immagini multiple o sfocate.

Confronto rapido: quando preferire sicurezza vs usabilità

• Usabilità elevata (solo biometria): comoda ma più esposta a spoofing.
• Sicurezza elevata (2FA con token): meno comoda ma riduce fortemente i rischi.

Note finali e raccomandazioni

Starbug ha evidenziato che «tutto è spoofable»: impronte, iride e volto possono essere attaccati con metodi creativi. Questo non significa abbandonare la biometria. Significa invece usarla come parte di una strategia di autenticazione stratificata. Per utenti e organizzazioni: ridurre l’esposizione fotografica dei dispositivi, adottare 2FA e aggiornare continuamente i sistemi di rilevamento anti‑spoofing.

Sommario:

• La cornea può riflettere lo schermo e rivelare il PIN.
• L’attacco richiede foto ad alta risoluzione e competenze di elaborazione.
• Contromisure pratiche (2FA, policy foto, liveness detection) riducono il rischio.

Importante: la ricerca serve a migliorare la sicurezza. Applicate contromisure proporzionate al rischio del vostro ambiente.