Puedes estar de acuerdo conmigo en que los escáneres de huellas dactilares han ganado popularidad entre la mayoría de los propietarios de teléfonos inteligentes Android. Casi todos los teléfonos inteligentes Android tienen un escáner de huellas dactilares. En la mayoría de los casos, encontrará escáneres de huellas dactilares en tres ubicaciones diferentes de teléfonos inteligentes Android. Tenemos escáneres de huellas dactilares de montaje lateral, escáneres de huellas dactilares montados en la parte posterior y debajo de la pantalla. Independientemente de su ubicación, todos tienen un propósito principal, que es la seguridad.
Dado que cada ser humano en la tierra tiene una huella digital diferente, no se puede negar que los escáneres de huellas digitales en los teléfonos inteligentes deben ser una de las formas más seguras de mantener los datos privados lejos de un tercer ojo. En la medida en que esta declaración es válida, ¿es ese realmente el caso? ¿Los escáneres de huellas digitales en los teléfonos inteligentes brindan la mejor forma de seguridad?
Bueno, la respuesta a esto puede depender de cómo le gustaría desbloquear el teléfono protegido por huellas digitales. Si está tratando de desbloquear con una huella digital diferente que no está registrada en el teléfono inteligente, entonces seguramente tiene la mejor forma de protección. ¿Qué sucede si intenta desbloquear con una herramienta de piratería? Eso debería ser bastante difícil de hacer, ¿verdad? Incluso si es posible, esa herramienta seguramente debería costar una fortuna. Lo suficientemente caro para que las agencias de seguridad del gobierno como el FBI y el resto puedan pagar con fines de investigación.
El hecho es que existe una nueva herramienta que puede atravesar la protección de huellas dactilares del dispositivo Android pero no cuesta una fortuna. Es una herramienta de $15 que hace toda la magia.
Una herramienta de $15 rompe la protección de los escáneres de huellas dactilares de los teléfonos inteligentes
Una nueva investigación realizada por Yu Chen de Tencent y Yiling He de la Universidad de Zhejiang ha indicado que hay dos vulnerabilidades desconocidas en casi todos los teléfonos inteligentes. Estas vulnerabilidades se encuentran en el sistema de autenticación de huellas dactilares y se denominan vulnerabilidades de día cero. Al aprovechar estas vulnerabilidades, pueden lanzar un ataque llamado ataque BrutePrint para desbloquear casi cualquier escáner de huellas digitales de teléfonos inteligentes.
Para lograr esto, usaron una placa de circuito de $15 con un microcontrolador, un interruptor analógico y una tarjeta flash SD y conector de placa a placa. Todo lo que necesitan los atacantes es pasar 45 minutos con el teléfono de la víctima y, por supuesto, la base de datos de huellas dactilares.
Los escáneres de huellas dactilares de teléfonos inteligentes Android fueron pirateados en 45 minutos
El investigador probó ocho diferentes Teléfonos inteligentes Android y dos iPhones. Los teléfonos Android incluyen Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G y Huawei P40. Los iPhone también incluyen iPhone SE y iPhone 7.
Todas las protecciones de huellas dactilares de los teléfonos inteligentes tienen un número limitado de intentos, pero el ataque BrutePrint puede eludir esta limitación. De hecho, los autenticadores de huellas dactilares no requieren la coincidencia exacta entre la entrada y los datos de huellas dactilares almacenados para funcionar. En su lugar, utiliza el umbral para determinar si la entrada está lo suficientemente cerca como para ser una coincidencia. Esto significa que cualquier sistema malicioso puede aprovecharse e intentar hacer coincidir los datos de huellas dactilares almacenados. Todo lo que tienen que hacer es poder eludir el límite establecido en los intentos de huellas dactilares.
Gizchina Noticias de la semana
Cómo los investigadores usaron la herramienta de $15 para desbloquear escáneres de huellas dactilares en teléfonos inteligentes
Para desbloquear los teléfonos inteligentes, todo lo que los investigadores tuvieron que hacer fue quitar la cubierta posterior de los teléfonos inteligentes y adjuntó la placa de circuito de $ 15. Tan pronto como comienza el ataque, solo toma menos de una hora desbloquear cada dispositivo. Una vez que el dispositivo está desbloqueado, también pueden usarlo para autorizar pagos.
El tiempo que tomó desbloquear cada teléfono varió de un teléfono a otro. Mientras que el Oppo, por ejemplo, tardó unos 40 minutos en desbloquearse, el Samsung Galaxy S10+ tardó entre 73 minutos y 2,9 horas en desbloquearse. El teléfono inteligente Android más difícil de desbloquear fue el Mi 11 Ultra. Según los investigadores, tardaron entre 2,78 y 13,89 horas en desbloquearlo.
El iPhone es bastante seguro
Al intentar desbloquear el iPhone, los investigadores no pudieron lograr su objetivo. Esto no significa realmente que las huellas dactilares de Android sean más débiles que las del iPhone. Se debe principalmente a que Apple encripta los datos de los usuarios en el iPhone. Con datos encriptados, el ataque BrutePrint no puede acceder a la base de datos de huellas dactilares en el iPhone. Debido a esto, no hay forma de que esta forma de ataque pueda desbloquear las huellas dactilares del iPhone.
¿Cómo pueden los usuarios de teléfonos inteligentes Android garantizar la seguridad de sus datos personales?
Como usuario final, es poco lo que puede hacer aparte de usar contraseñas y otras formas de protección. Sin embargo, depende de los desarrolladores de Android tomar medidas adicionales para garantizar la seguridad de los datos del usuario. En vista de esto, los investigadores Yu Chen y Yiling hicieron algunas recomendaciones. Sugirieron que el equipo de desarrollo limitará los intentos de omisión. También instaron a Google a cifrar todos los datos enviados entre el escáner de huellas dactilares y el conjunto de chips.
Conclusión
Podrá notar que los investigadores usaron teléfonos inteligentes antiguos para este llamado ataque BrutePrint. Esto se debe a que los teléfonos inteligentes Android modernos están más seguros con permisos de aplicación más estrictos y datos de seguridad de la aplicación. A juzgar por el método utilizado por estos investigadores, será muy difícil que el ataque BrutePrint pueda penetrar la seguridad de Android actual.
Security Boulevard también ha asegurado a los usuarios de los últimos teléfonos inteligentes Android que no se preocupen. Esto se debe a que es posible que el ataque BrutePrint no funcione en los teléfonos inteligentes Android que siguen los estándares más recientes de Google.
Fuente/VIA: