Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
I deepfake sono come se qualcuno indossasse una maschera perfetta per Halloween, non solo per ingannare gli amici, ma per entrare nella tua banca, dire “sono io” e ricevere i tuoi soldi. La parte spaventosa? Quelle maschere ora sono economiche, realistiche e chiunque può comprarne una.
La tecnologia deepfake è entrata in una nuova era pericolosa, che non si limita più alle battute su internet o alle trovate sui social media, né alle analogie con le maschere di Halloween. I deepfake vengono ora utilizzati attivamente per indebolire il riconoscimento facciale, una delle forme di autenticazione mobile in più rapida crescita.
Utilizzando filmati facciali sintetici e strumenti ampiamente disponibili sul mercato, gli aggressori sono ora in grado di falsificare i sistemi di riconoscimento facciale e ottenere l’accesso non autorizzato alle app mobili. Quella che un tempo era considerata un’alternativa più sicura e semplice alle password, ora viene sfruttata. Per i CISO, questo rappresenta molto più di una nuova sfida tecnica, ma un rischio aziendale con conseguenze concrete per la fiducia, la conformità e la continuità operativa.
La praticità biometrica incontra l’esposizione alla sicurezza
Negli ultimi anni, il riconoscimento facciale è diventato quasi il metodo predefinito per la verifica dell’identità nelle app mobili. Dalle app bancarie e di criptovalute alle piattaforme online e agli strumenti per il lavoro, viene pubblicizzato come sicuro e intuitivo, il che, a prima vista, è una promessa. Agli utenti basta dare un’occhiata allo schermo e l’app si sblocca senza dover ricordare una password o inserire un codice OTP.
Tuttavia, questa praticità comporta una crescente esposizione. I sistemi di autenticazione facciale, anche quelli che utilizzano un’API nativa del sistema operativo, possono essere aggirati quando le app mobili non sono adeguatamente protette. La minaccia non si limita a SDK poco noti o di bassa qualità: anche piattaforme biometriche note possono essere sfruttate se l’ambiente dell’app è vulnerabile alla manomissione.
Nelle frodi tradizionali, un hacker potrebbe tentare di accedere al dispositivo della vittima. Ciò che rende i deepfake così pericolosi è che l’attacco spesso avviene interamente sul dispositivo dell’aggressore. L’aggressore utilizza strumenti speciali, spesso su un telefono modificato con rooting o jailbreak, per falsificare il volto della vittima e ingannare il sistema durante i controlli di identità.
Ciò significa che ogni app che si basa sull’accesso tramite riconoscimento facciale è potenzialmente a rischio, soprattutto se non sono implementate protezioni runtime. I dispositivi Android, in particolare, sono maggiormente esposti a causa di una maggiore variabilità hardware e di un ambiente più permissivo per la modifica del comportamento del sistema. Data la diffusione del riconoscimento facciale, la portata della minaccia è presente in quasi tutti i settori.
Rimani aggiornato sulle ultime notizie e analisi del settore dei canali con la nostra newsletter bisettimanale
Comprendere i meccanismi dello spoofing deepfake
A livello di app, strumenti di reverse engineering come Frida consentono ai malintenzionati di infiltrarsi nel flusso di autenticazione dell’app e sostituire il feed live della telecamera con contenuti multimediali sintetici. Questa tecnica è particolarmente efficace contro le app che si basano su SDK di riconoscimento facciale di terze parti, molti dei quali non dispongono di sofisticate funzionalità di rilevamento della vitalità o di resistenza alle manomissioni.
A un livello più profondo, gli aggressori possono implementare software per telecamere virtuali, come VCAM o VCAMSX, per simulare un feed live di una telecamera a livello di sistema o kernel. Su un dispositivo compromesso, questo consente di iniettare filmati sintetici o preregistrati nel flusso della telecamera, inducendo l’app ad accettare il deepfake come legittimo.
Nei casi più avanzati, l’attacco può persino colpire l’hardware stesso. Manomettendo l’hardware della telecamera o i suoi segnali di input, i malintenzionati possono aggirare completamente le difese software. Sebbene questi attacchi hardware richiedano un elevato grado di sofisticazione, sono alla portata di autori di minacce motivati, in particolare quelli con accesso a obiettivi di alto valore.
In definitiva, anche quando le app si basano su API biometriche native, non sono immuni alla manipolazione, a meno che non siano implementati ulteriori livelli di protezione.
Oltre la sicurezza: il rischio aziendale delle violazioni biometriche
È allettante considerare lo spoofing deepfake solo come un’altra vulnerabilità tecnica. Ma la realtà è molto più ampia. Una singola violazione biometrica può avere conseguenze di vasta portata per un’intera organizzazione.
Un aggressore che bypassa il riconoscimento facciale può accedere a conti finanziari sensibili, dati sanitari privati, messaggi interni o persino credenziali aziendali. In settori come la tecnologia finanziaria, la sanità o il software aziendale, questo tipo di accesso può avere conseguenze catastrofiche.
I danni non finiscono qui. I dati biometrici facciali sono classificati come sensibili ai sensi di normative come il GDPR. Una violazione che comporti l’autenticazione facciale falsificata potrebbe comportare la divulgazione obbligatoria, controlli normativi e pesanti sanzioni. Con l’aumento delle aspettative in materia di verifica dell’identità dovuto a normative future come la PSD3 e i nuovi standard AML/KYC, le aziende dovranno affrontare una pressione crescente per dimostrare che i loro sistemi biometrici siano robusti e resistenti alla manipolazione.
Poi c’è la questione della fiducia. Gli utenti generalmente ritengono che il riconoscimento facciale sia altamente sicuro e molto più sicuro di password, PIN o persino impronte digitali. Se questa convinzione viene minata da una violazione di alto profilo, le ricadute sulla reputazione potrebbero essere significative. I clienti potrebbero pensarci due volte prima di utilizzare l’accesso biometrico o, peggio, abbandonare del tutto l’app.
Per i CISO, questa non è più una questione tecnica di nicchia. È una questione aziendale strategica che coinvolge conformità, reputazione del marchio, fidelizzazione degli utenti e persino la fiducia degli investitori. La sicurezza biometrica è ormai un punto fermo nell’agenda dei consigli di amministrazione.
Cosa possono fare i CISO oggi e a lungo termine
La buona notizia è che esistono delle difese contro lo spoofing deepfake, ma richiedono un approccio proattivo a più livelli.
Nel breve termine, i CISO e i professionisti della sicurezza dovrebbero garantire che le app siano protette da manipolazioni in fase di esecuzione. Le soluzioni di protezione delle app possono prevenire l’aggancio, il reverse engineering e l’iniezione di codice dannoso. Ciò rende significativamente più difficile per gli aggressori intercettare o manipolare il processo biometrico.
È fondamentale anche affidarsi ad API biometriche native della piattaforma, come Face ID o BiometricPrompt. Queste offrono un rilevamento integrato della vitalità e protezioni a livello di sistema operativo più efficaci rispetto a molte alternative di terze parti. Tuttavia, anche queste dovrebbero essere integrate con la biometria comportamentale e la profilazione dei dispositivi, in grado di rilevare anomalie nel modo in cui gli utenti tengono in mano, interagiscono o si autenticano sui propri dispositivi.
Altrettanto importante è la necessità di impedire che l’input biometrico, come i feed della telecamera, venga sovrascritto o simulato da altre app o ambienti virtuali. Senza una protezione a questo livello, anche il motore di riconoscimento facciale più sofisticato può essere ingannato da un deepfake convincente.
A lungo termine, le organizzazioni dovrebbero integrare lo spoofing biometrico nei loro abituali scenari di penetration test e red team. I team di threat intelligence dovrebbero monitorare l’evoluzione degli strumenti deepfake che prendono di mira le piattaforme mobili. I rapporti con i fornitori, in particolare con i KYC o i provider di identità, devono essere rivalutati per garantire che i loro sistemi includano misure anti-spoofing comprovate.
A livello di piattaforma, i CISO dovrebbero promuovere controlli più rigorosi su sistema operativo e hardware per bloccare gli input biometrici. E, cosa fondamentale, devono essere implementati flussi di autenticazione di riserva che non si basino esclusivamente sul riconoscimento facciale, soprattutto per le transazioni ad alto rischio o di valore elevato.
Ricostruire la fiducia digitale in un mondo deepfake
Man mano che la tecnologia deepfake diventa più accessibile e convincente, sta rimodellando il panorama delle minacce per l’autenticazione mobile. Ciò che un tempo sembrava fantascienza è ora un rischio reale. E per le organizzazioni che si affidano al riconoscimento facciale per proteggere l’accesso degli utenti, il costo dell’inazione sta aumentando rapidamente.
L’autenticazione deve andare oltre ciò che sembra corretto. Deve essere tecnicamente valida, verificata contestualmente e resistente alla manipolazione. Difendersi dai deepfake non è più un’opzione facoltativa. È un elemento fondamentale per proteggere le app mobili e tutelare la fiducia che gli utenti ripongono in esse.
Per i CISO, questo è un invito a guidare non solo i controlli di sicurezza, ma anche la resilienza aziendale. Il volto delle frodi sta cambiando. Le nostre difese devono cambiare di conseguenza.
Shaun Cooney (CISSP, CEH), esperto di sicurezza informatica, vanta oltre due decenni di esperienza nel settore.
È noto per aver guidato trasformazioni tecnologiche su larga scala, aver protetto infrastrutture critiche e aver promosso strategie basate sui dati per migliorare le prestazioni organizzative.
Presso Splunk, Shaun si è distinto nell’affrontare complesse sfide in materia di sicurezza informatica, mentre il suo incarico presso l’NCSC del Regno Unito ha messo in luce la sua capacità di gestire progetti mission-critical, supervisionare sistemi operativi estesi e implementare soluzioni di sicurezza innovative.
Shaun ha dimostrato una leadership eccezionale nella creazione e nell’ampliamento di team tecnologici, nella gestione di budget multimilionari e nell’integrazione di sistemi avanzati per ridurre i rischi per la sicurezza e migliorare l’efficienza.
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube