Los investigadores de FireEye Tao Wei y Yulong Zhang demostrado en la conferencia Black Hat cómo los piratas informáticos pueden robar huellas dactilares de forma remota sin que el propietario del dispositivo lo sepa. Aún más peligroso es que esto se puede hacer a “gran escala”.
Vídeos recomendados
Actualizado el 11/08/2015 por Robert Nazarian: Agregado en comentarios de HTC, Samsung y Yulong Zhang.
Nos comunicamos con HTC y Samsung para confirmar que se emitieron parches tanto para HTC One Max como para Galaxy S5. También le preguntamos a Samsung si el Galaxia S6, Galaxy S6 borde, o cualquier otro dispositivo tiene la misma vulnerabilidad.
"Ya hemos abordado el problema del HTC One Max y no afecta a ningún otro dispositivo HTC".
Según el siguiente comentario de HTC, estamos seguros de que todas las versiones de operador del One Max fueron parcheadas:
“HTC está al tanto del informe FireEye sobre la seguridad del escáner de huellas dactilares. Ya hemos abordado el problema del HTC One Max en todas las regiones y no afecta a ningún otro dispositivo HTC. Como siempre, HTC se toma muy en serio los problemas de seguridad y los convierte en una máxima prioridad”.
El comentario de Samsung no menciona una actualización de parche, pero sí indica que todos los teléfonos Galaxy S5 son seguros:
“Samsung se toma muy en serio la seguridad de las huellas dactilares y estamos al tanto del informe de FireEye sobre una vulnerabilidad en el sensor de huellas dactilares. Después de una revisión exhaustiva con FireEye, se descubrió que los datos de todos los usuarios del Galaxy S5 permanecen seguros”.
Desafortunadamente, Samsung no mencionó el estado del Galaxy S6, Galaxy S6 Edge ni de ningún otro teléfono que tenga sensores de huellas dactilares. Nos comunicamos con la empresa nuevamente y actualizaremos esta publicación cuando tengamos noticias.
"Después de una revisión exhaustiva con FireEye, se descubrió que los datos de todos los usuarios del Galaxy S5 permanecen seguros".
También contactamos a Yulong Zhang y le preguntamos sobre el Galaxy S6, Galaxy S6 Edge o cualquier otro teléfono que pudiera ser vulnerable al ataque de seguridad del sensor de huellas dactilares. Desafortunadamente, no pudo proporcionar información sobre si afecta a otros dispositivos.
Zhang reiteró que el iPhone no es vulnerable ya que los datos de las huellas dactilares están encriptados. Manzana compró AuthenTec en 2012, que proporciona los sensores de huellas dactilares para el iPhone. La propiedad de Apple en la empresa facilita el control de la seguridad, mientras que Samsung y otros Androide Los fabricantes están a merced de empresas de hardware de terceros.
La solución de HTC y Samsung implica bloquear los sensores de huellas dactilares, pero los datos permanecen sin cifrar debido a limitaciones de hardware. Es probable que los fabricantes de Android puedan proteger el hardware que les permita cifrar los datos de huellas dactilares en el futuro.
Con toda esta negatividad que rodea a los sensores de huellas dactilares, Zhang todavía cree que usarlos es la mejor manera de proteger teléfonos y tabletas. Las huellas dactilares no se pueden adivinar, pero las contraseñas sí, especialmente para aquellas que usan códigos PIN simples como 1234.
¿Qué es el ataque de espionaje del sensor de huellas dactilares?
El “ataque de espionaje del sensor de huellas dactilares” funciona con teléfonos Samsung, HTC y Huawei. Según Wei y Zhang, algunos fabricantes no bloquean el sensor de huellas dactilares. Aparentemente, algunos sólo están protegidos por privilegios a nivel de sistema en lugar de root, lo que hace que sea más fácil hackearlos. La mayoría del software relacionado con la seguridad requiere acceso de root, lo que hace que sea más complicado frustrarlo para los piratas informáticos.
No se explicó cómo el pirata informático obtiene acceso al sensor de huellas dactilares, pero el atacante puede continuar leyendo las huellas dactilares durante la vida útil del teléfono una vez que el ataque está en marcha.
También se demostró que a través de un ataque diferente, "Ataque de autorización confusa", cómo un hacker podría proporcionar una pantalla de bloqueo falsa que en realidad permitiría una transferencia de dinero en segundo plano una vez que se toma la huella digital aceptado. Sin embargo, el informe no indicó si algún teléfono actual es realmente vulnerable a este tipo de ataque.
Obtener una huella digital puede ser muy grave ya que no sólo se utilizan para desbloquear el dispositivo, sino que también se utilizan para realizar pagos móviles y transacciones bancarias. Las huellas dactilares también están vinculadas a usted personalmente y, obviamente, no se pueden alterar ni cambiar.
No está claro qué tan asustado debes estar en este caso. Wei y Zhang hicieron una demostración del ataque de espionaje del sensor de huellas dactilares en el Samsung Galaxy S5 y el HTC One Max más antiguos, pero no mencionaron si el Galaxy S6 o el Galaxy S6 Edge más nuevos tienen la misma vulnerabilidad. Además, el informe indica que tanto Samsung como HTC emitieron parches tras ser notificados sobre la vulnerabilidad.
Ahora, si eres usuario de iPhone, te alegrará saber que Apple hace un mejor trabajo al cifrar los datos de huellas dactilares del escáner. La buena noticia es que Google está implementando soporte de seguridad de huellas dactilares en Android M, por lo que es probable que sea más seguro en todos los teléfonos Android en el futuro. Hablando de eso, Wei y Zhang recomiendan que los consumidores siempre compren los teléfonos más recientes con el software más reciente para una mejor protección.
Recomendaciones de los editores
- Hay un gran problema con las nuevas tablets Android de Samsung
- Este importante error de Apple podría permitir a los piratas informáticos robar tus fotos y borrar tu dispositivo
- Estas más de 80 aplicaciones podrían estar ejecutando adware en su iPhone o dispositivo Android
- Android está robando una de las mejores funciones del iPhone para auriculares inalámbricos
- Samsung salvó su teléfono de un desagradable problema de seguridad
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
