Il Metaverso ha come tallone d’Achille le autenticazioni biometriche: è quanto emerge dall’ultima ricerca di Trend Micro, dal titolo “Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect”.
“Il pericolo illustrato nel rapporto relativo alla compromissione dei dati biometrici di un individuo”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è concreto e potrebbe avere conseguenze disastrose sulle vittime”.
Ecco perché i dati esposti costituiscono un rischio per le procedure di autenticazione in vari scenari digitali.
Indice degli argomenti
Una criticità del Metaverso: le autenticazioni biometriche
“Il dato biometrico è per sua natura una caratteristica distintiva di ciascun individuo”, continua Paganini, “una caratteristica che non muta nel tempo diversamente da altre informazioni su cui possiamo basare un processo di autenticazione”.
Infatti, “a differenza delle password, le nostre caratteristiche personali non possono essere modificate facilmente. Per questo, una compromissione potrebbe avere un impatto più duraturo sugli utenti e hackerare il profilo Metaverso di un utente, in futuro, potrebbe essere simile a come si ottiene l’accesso completo a un PC oggi”.
“Alcuni sostengono che l’utilizzo della biometria sia un’alternativa più sicura e più facile rispetto alle password”, conferma Salvatore Marcis, Technical Director di Trend Micro Italia.
La stessa Trend Micro dà la seguente definizione del Metaverso: “un ambiente operativo immersivo-interattivo, multi-vendor e cloud distributed, in cui gli utenti possono accedere attraverso diverse categorie di dispositivi connessi”.
Impersonare gli avatar all’interno di questa nuova interazione del Web potrebbe portare a gravi conseguenze: accedere ad ogni informazione, dai conti bancari online ai negozi di criptovaluta fino a dati aziendali sensibili.
“Entrare in possesso di questi dati significa poter impersonare un individuo durante tutta la sua esistenza”, mette in guardia Paganini: “I contesti in cui è possibile abusare delle informazioni biometriche di una persona sono moltepolici così come le possibili attività malevole che possono essere condotte, dal furto di identità a frodi di vario genere”.
Secondo la ricerca, i cyber criminali in futuro potrebbero essere in grado di rubare dati biometrici o trovare quelli trapelati, sfruttarli per trarre in inganno i dispositivi connessi come i visori VR/AR e renderli accessibili da qualcun altro.
Ciò potrebbe dare adito a furti di dati, frodi, estorsioni e altri reati. I profili utente nel Metaverso potrebbero, inoltre, diventare un obiettivo di cyber attacchi anche per accedere a dati biometrici, per esempio i modelli degli utenti in 3D che replicano, nel dettaglio, le reali caratteristiche biologiche di una persona.
In questo nuovo ambiente, il software che mantiene il Metaverso, per esempio, registra due dei tre fattori che servono per l’autenticazione.
Quali rischi corriamo
Un’ingente mole di dati biometrici, compresi modelli di viso, voce, iride, palmo e impronte digitali, sono già esposti online con una qualità tanto elevata da trarre in inganno i sistemi di autenticazione.
Nelle immagini e nei contenuti audio pubblicati su social media e sulle piattaforme di messaggistica, oppure su siti di notizie e portali governativi che le persone usano ogni giorno, si possono trovare questi dettagli biometrici.
Essi aiutano i cyber criminali ad aggirare i controlli di autenticazione. Ma non solo: i dati biometrici trapelati o rubati potrebbero anche contribuire a realizzare modelli deepfake in massa.
“Preoccupa ovviamente il Metaverso”, conclude Paganini, “una realtà parallela con una completa sovrapposizione con il nostro vissuto quotidiano. In tale ambito un attaccante in possesso dei dati di un individuo potrebbe impersonarlo ed operare per suo conto. Potrebbe pertanto intrattenere relazioni fingendosi la vittima con l’intento di acquisire informazioni, effettuare acquisti, diffondere notizie false, e persino molestare qualcuno. Il limite è solo nella fantasia del criminale”.
La ricerca di Trend Micro vuole dunque chiamare a raccolta la comunità IT e della cyber security, aprendo un dibattito su come evitare questi rischi potenziali, ma niente affatto remoti.
