Autenticación biométrica, qué es y cómo romperla [y V] ~ Segu-Info

Basado en el artículo de PAUL CUCU y ANA DASCALESCU

Métodos de hacking para la autenticación biométrica

Los investigadores de seguridad han demostrado una y otra vez cómo engañar a los escáneres de huellas digitales e iris. Estos son solo algunos de los métodos que usan.

Hackear la huella digital creando un dedo falso

Para abrir un teléfono inteligente protegido con una huella digital, el atacante primero deberá encontrar una impresión de alta calidad, que contenga una cantidad suficiente de patrones específicos para abrir el dispositivo. A continuación, el atacante levantará la huella digital, la colocará sobre un laminado de plástico y luego colocará un dedo para que se ajuste a este molde.

Una vez que crea el dedo falso, todo lo que tiene que hacer es colocarlo en el escáner, presionar con el dedo para conducir la electricidad y luego usar el teléfono desbloqueado.

Un bloqueo de huella digital es inútil si alguien roba el teléfono, y luego simplemente levanta la impresión desde el dispositivo.

Hackear un escáner de iris

Para algunos escáneres de iris, todo lo que se necesita es tomar una foto con una cámara barata en modo nocturno, imprimir el iris en papel y luego colocar una lente de contacto húmeda para imitar la redondez del ojo humano.

Hackear el sensor biométrico y robar los datos

Otro método más insidioso para obtener los datos de huellas dactilares de un teléfono y desbloquearlo es hackear directamente la parte del teléfono responsable de almacenar la información.

Para dispositivos iOS, esto significa "romper" Secure Enclave. Técnicamente, esto es posible, pero está más allá del alcance de un delincuente común y corriente. Los pocos hackings confirmados han sido realizados por Cellebrite. Aún así, el software y la experiencia podrían alcanzar el mercado masivo y llegar a las manos de los "Script Kiddies".

En el caso de los dispositivos Android, los investigadores han demostrado que es posible engañar al entorno de ejecución de confianza proporcionado por Qualcomm al cargar una aplicación personalizada, que luego ejecuta un escalamiento de privilegios hasta que obtiene un mayor acceso al Trusted Execution Environment (TEE).

Afortunadamente para nosotros los usuarios, un cibercriminal necesitaría mucha experiencia para hackear el teléfono de esa manera.

Seguridad biométrica para dispositivos móviles

Aquí hay algunos consejos simples para ayudar a minimizar la cantidad de impresiones que se encuentran en su teléfono:

Proteja el teléfono con una cubierta resistente a huellas dactilares u oleófoba y protector de pantalla.
Use un dedo diferente a su índice o pulgar.
Si la conveniencia no es su principal preocupación, use tanto la huella digital como la contraseña / bloqueo de PIN. Esto es especialmente útil para teléfonos inteligentes y portátiles. Aquí hay una guía completa para la seguridad de su teléfono, y las mejores sugerencias de contraseña.
Si la computadora portátil u otro dispositivo lo admite, use un aleatorizador de huellas dactilares. En resumen, registra 2-3 huellas dactilares, y la pantalla de bloqueo le pedirá que proporcione un dedo diferente cada vez que inicie sesión.

Serie completa:

1 ago 2018