Ataque BrutePrintAutenticación de Huellas DigitalesSeguridadSeguridad BiometricaVulnerabilidades Android

Agujeros en la seguridad biométrica de Android: BrutePrint, el nuevo ataque de fuerza bruta

seguridad biometrica

El mundo de la seguridad digital está en alerta debido a una nueva amenaza identificada por investigadores de Zhejiang University y Tencent Labs en China. Han descubierto vulnerabilidades críticas en los sistemas de autenticación de huellas digitales en dispositivos Android y HarmonyOS (Huawei) que permiten eludir estos mecanismos de seguridad a través de un ataque de fuerza bruta denominado BrutePrint. En contraste, los dispositivos iOS mostraron resistencia a estas brechas de seguridad. El estudio completo puede encontrarse en el servidor arXiv.

Brechas de seguridad en sistemas de autenticación biométrica

Fallo en la función Match-After-Lock

Una de las vulnerabilidades encontradas radica en la función Match-After-Lock. Esta función, diseñada para bloquear toda actividad de autenticación una vez que un dispositivo está en modo de bloqueo, presentó un defecto. Los investigadores pudieron seguir enviando una cantidad ilimitada de muestras de huellas dactilares incluso después de que el dispositivo estaba bloqueado.

Fallas en la protección de datos biométricos

Los investigadores también encontraron que la protección de los datos biométricos almacenados en la Interfaz Periférica en Serie de los sensores de huellas digitales es inadecuada. Esto permite a los atacantes robar imágenes de huellas dactilares, que además pueden obtenerse fácilmente de conjuntos de datos académicos o filtraciones de datos biométricos.

Vulnerabilidad en la función Cancel-After-Match-Fail (CAMF)

Otra de las fallas identificadas se encuentra en la función Cancel-After-Match-Fail (CAMF), diseñada para limitar el número de intentos fallidos de coincidencia de huellas dactilares. Los investigadores descubrieron una forma de inyectar un error de comprobación de suma que desactiva la protección CAMF.

El Ataque BrutePrint

BrutePrint es el resultado de esta investigación, una técnica capaz de alterar las imágenes de huellas digitales obtenidas ilícitamente para hacerlas parecer como si hubieran sido escaneadas por el dispositivo objetivo. Este proceso mejora las probabilidades de que las imágenes sean consideradas válidas por los escáneros de huellas digitales.

Para llevar a cabo un ataque exitoso con BrutePrint, el atacante necesita acceso físico al teléfono objetivo durante varias horas, una placa de circuito impreso fácilmente obtenible por $15, y acceso a imágenes de huellas digitales.

Los resultados de este estudio ilustran una realidad inquietante: nuestros dispositivos pueden no ser tan seguros como creemos. A pesar de los avances en la seguridad biométrica, existen brechas que pueden ser explotadas. No basta con implementar medidas de seguridad más robustas, sino que también es esencial fomentar una mayor colaboración entre los fabricantes de smartphones y los fabricantes de sensores de huellas digitales para enfrentar estas vulnerabilidades existentes.


Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button