Tener un móvil con huella dactilar es algo común hoy en día. En vez de poner un código PIN o un patrón, simplemente ponemos el dedo en la pantalla y lo podemos desbloquear. Además, incluso podemos usarlo para transacciones bancarias o abrir algunas aplicaciones. Ahora bien, ¿es realmente seguro usar este método? En este artículo nos hacemos eco de una investigación que muestra cómo podrían ser vulnerables a ataques de fuerza bruta y que puedan entrar sin dificultad.
Un ataque de fuerza bruta básicamente consiste en probar muchas combinaciones hasta dar con la correcta y entrar. Es lo que pueden hacer para romper una clave numérica, por ejemplo. Son intentos de prueba y error y lograr así el acceso no deseado a una cuenta, un dispositivo, una red o cualquier plataforma protegida.
Fuerza bruta contra huellas dactilares
Un grupo de investigadores de seguridad de Tencent Labs y la Universidad de Zhejiang han diseñado un método de ataque, que han denominado BrutePrint, para usar la fuerza bruta contra huellas dactilares en teléfonos móviles. Han querido demostrar cómo podrían eludir este método de autenticación para acceder y tomar el control del dispositivo.
Para lograrlo, según indican han explotado dos vulnerabilidades de día cero. Esto les permitió probar tantas veces como quisieran. Descubrieron, además, que los datos biométricos de los sensores de huella no estaban correctamente protegidos. Esto permitía un ataque Man in the Middle para secuestrar esas huellas dactilares y utilizarlas.
Estos dos ataques, BrutePrint y el conocido como SPI MITM, los probaron en un total de 10 modelos de teléfonos móviles Android muy populares. Lograron intentos ilimitados en todos estos dispositivos. En el caso de iOS, indican que lograron probar 10 veces para intentar romper esa huella.
Pero, ¿cómo funciona exactamente el ataque BrutePrint? Lo que hace es enviar un número ilimitado de imágenes de huellas dactilares y encontrar la correcta. Es igual que ocurriría con una contraseña tradicional, pero en este caso con huellas dactilares. La buena noticia es que el atacante necesita acceso físico al dispositivo. Además, requiere de una base de datos de huellas digitales.
Un punto a destacar, es que en el caso de las huellas digitales existe un umbral de error. Es decir, una contraseña normal tienes que ponerla exacta para poder iniciar sesión. En cambio, una huella digital tiene un margen de error.
Respecto al ataque SPI MITM, también los dispositivos Android resultaron vulnerables, al tiempo que los iOS sí resistieron el ataque. Esto último es así ya que los teléfonos iPhone cifran las huellas dactilares en el SPI.
Apenas tardan unas horas
Este mismo informe indica que apenas tardan unas horas en romper una huella dactilar utilizando BrutePrint. Concretamente, contra dispositivos vulnerables tardan entre 2,9 y 13,9 horas. Lógicamente es necesario que el usuario haya registrado una huella dactilar en el teléfono, ya que de lo contrario no podrían acceder.
Pero cuidado si has registrado varias huellas dactilares y no solo una en el teléfono. En este caso, según indican, el tiempo de fuerza bruta se reduce incluso a menos de una hora. Al haber más probabilidades, el tiempo se reduce considerablemente.
En definitiva, como ves los teléfonos móviles pueden ser vulnerables a ataques de fuerza bruta contra la huella dactilar. Siempre debes evitar que hackeen el teléfono. Es importante siempre tenerlos actualizados, ya que vulnerabilidades de este tipo pueden aparecer en cualquier momento. Es clave usar un buen antivirus también, para detectar cualquier malware.
El artículo La huella de tu móvil no es tan segura y con este nuevo ataque pueden entrar se publicó en RedesZone.
0 Commentaires