I ricercatori dell’Università di Buffalo hanno scoperto un metodo che permette di identificare gli smartphone semplicemente analizzando una singola fotografia scattata dagli stessi.
Per raggiungere un simile risultato, il team di ricerca si è concentrato su un difetto caratteristico del digital imaging, denominato photo-response non-uniformity (PRNU).
Il PRNU è un difetto che si verifica quando le imperfezioni nel processo di realizzazione di ciascun sensore di una fotocamera determinano delle minuscole variazioni. Tali variazioni possono far sì che i milioni di pixel nel sensore della fotocamera proiettino dei colori che sono leggermente più luminosi o scuri del normale. In conseguenza di queste differenze si verifica una sistematica distorsione all’interno della foto, chiamata pattern noise.
Si tratta di una distorsione invisibile ad occhio nudo e può essere estratta grazie a speciali filtri, per cui ogni pattern è unico per ciascuna fotocamera.
Questo processo di analisi delle immagini richiede normalmente 50 fotografie catturate da una fotocamera, tuttavia lo studio condotto dai ricercatori dell’Università di Buffalo ha evidenziato come per gli smartphone sia sufficiente una singola foto. La differenza è una conseguenza del fatto che i sensori fotografici all’interno degli smartphone sono decine di volte più piccoli.
“Come per i fiocchi di neve, non esistono due smartphone identici. Ciascun device, a prescindere dal produttore che lo ha realizzato, può essere identificato attraverso un pattern di microscopici difetti d’immagine, che sono presenti in tutte le foto che essi catturano“, ha detto Kui Ren, il principale autore dello studio all’interno di una dichiarazione. “È un po’ come associare un proiettile ad una pistola, solo che noi associamo una foto alla fotocamera di uno smartphone”.
La ricerca è stata condotta utilizzando 16.000 immagini, 30 differenti iPhone 6s e 10 Samsung Galaxy Note 5. I test di identificazione ha fornito risultati con una precisione del 99,5 per cento.
I ricercatori sostengono che il processo di identificazione potrebbe essere in futuro utilizzato per le autenticazioni quando ad esempio si ritira del denaro o si effettuano degli acquisti. Lo studio ha dimostrato che l’analisi fotografica potrebbe potenzialmente bloccare attacchi in questo modo: Un cliente potrebbe fornire una foto scattata col proprio smartphone, utilizzato come riferimento, una sorta di impronta digitale PRNU.
Ogni volta che il cliente acquista qualcosa, il venditore può chiedergli di fotografare due codici QR visualizzati su un ATM o su uno schermo. Tramite un’app, il cliente può poi inviare la foto al venditore, che può verificare la foto ed il PRNU, per verificare il dispositivo che sta effettuando l’acquisto. I ricercatori hanno evidenziato come i cybercriminals potrebbero rimuovere il PRNU, in tal caso però il segnale emesso dai QR code risulterebbe più debole.
Questa nuova tecnologia verrà presentata nel febbraio 2018 in occasione della Network and Distributed Systems Security Conference in California, successivamente i ricercatori si dedicheranno allo studio degli smartphone dotati di doppia fotocamera.