Cientistas clonam impressão digital usando o som do dedo na tela

A validação biométrica por impressão digital é um dos principais recursos de segurança disponíveis para computadores e celulares, mas uma possível vulnerabilidade foi descoberta. Um grupo com pesquisadores da China e dos Estados Unidos publicou um estudo em que revelaram ser possível roubar ou clonar uma impressão digital a partir do som feito pelos toques dos dedos na tela. Este ataque é chamado de PrintListener.

• Microsoft alerta para uso do ChatGPT em ataques digitais sofisticados
• Chrome poderá combater invasões contra redes domésticas

Resultados obtidos mostram que seria impossível interceptar até 27,9% de dados parciais da impressão digital e 9,3% das digitais completas em até cinco tentativas com a configuração de segurança FAR (“Taxa de Aceitação Falsa”) mais alta de 0,01%. Para isso, o estudo analisou os sons emitidos pelos dedos quando deslizam sobre a tela — cada movimento tem um padrão sonoro e a junção de várias amostras poderia fornecer as informações necessárias para a interceptação.

Os dados seriam usados para a criação de ataques MasterPrints, uma espécie de impressão digital artificial que poderia parecer com várias outras marcações reais e passar pelos mecanismos de verificação — uma espécie de "chave-mestra", mas com identificação biométrica. De acordo com o texto, o PrintListener “precisa apenas gravar o som de fricção da ponta dos dedos dos usuários e pode ser lançado se aproveitando de um grande número de redes sociais”.

Normalmente, hackers usam fotos para esse tipo de golpe, mas os sons seriam uma possibilidade extra a partir de testes em cenários reais, conforme apontam os pesquisadores.

Como isso acontece?

A interceptação poderia acontecer com qualquer aplicativo de comunicação que tem acesso ao microfone do celular: o estudo cita Discotrd, Skype e Microsoft Teams como alguns exemplos, mas é possível estender a lista a basicamente qualquer ferramenta que permite chamadas de áudio e possui comandos para que alguém deslize dedos sobre a tela. Com a ajuda de um spyware, hackers poderiam coletar as informações e tentar roubar a impressão digital.

Após capturar o som obtido por deslizar a tela, os padrões de áudio são processados e geram informações para o MasterPrint. Vale ressaltar, entretanto, que o processo não é simples: envolve cancelamento de ruído, ampliação de dados e análise de espectogramas até gerar os padrões biométricos. Isso significa que, ao menos por enquanto, não há muito com o que se preocupar nesse sentido.

Você pode conferir o estudo completo (em inglês) em ndss-symposium.org.