Los atacantes pueden eludir la autenticación de huellas dactilares con una tasa de éxito de ~80 %

Antes de la popularidad de los sensores de huellas dactilares en dispositivos móviles y tabletas, estos sensores también estaban reservados para los lugares de trabajo y los productos electrónicos más premium. Apple dio la vuelta y cambió todo eso con su revolucionario Touch ID, por supuesto. Sin embargo, la primera iteración de Touch ID no era segura en absoluto, y los piratas informáticos pudieron atravesarla dentro de las 48 horas posteriores a su lanzamiento con una huella digital falsa. Desde entonces, los disparadores y los sensores han cambiado para volverse más seguros, lo cual era una gran necesidad del momento si los fabricantes de teléfonos iban a usarlos como punto de venta en sus dispositivos.

Sin embargo, un estudio reciente publicado por el grupo de seguridad Talos de Cisco tiene una advertencia para los usuarios de huellas dactilares. Dicen que aquellas personas que podrían ser el objetivo de piratas informáticos patrocinados por el estado, como hemos visto aumentar en número recientemente, o aquellos que podrían ser el objetivo de otros grupos de ataque calificados, bien financiados y determinados, tal vez no deberían usar sensores de huellas dactilares por seguridad. en absoluto. Esta declaración se produce después de que el grupo probara la autenticación de huellas digitales que ofrecen varios fabricantes, como Apple, Samsung, Huawei, Microsoft y otros tres fabricantes de cerraduras. En consecuencia, descubrieron que las huellas dactilares falsas pudieron pasar la autenticación 'al menos una vez aproximadamente el 80 por ciento de las veces'.

El grupo había comenzado creando moldes de las huellas dactilares, de las cuales se crearon unas 50, antes de ir a probar los dispositivos. A cada uno de los dispositivos elegidos se le dieron 20 intentos con el mejor molde de huellas dactilares creado. De estos 20 intentos, 17 fueron exitosos, publicó el informe. Los dispositivos más susceptibles fueron el candado AICase, Huawei Honor 7x y Samsung Note 9, y los investigadores tuvieron una tasa de éxito del 100 por ciento. Se informó una tasa de éxito del 90 por ciento para los dispositivos iPhone 8, MacBook Pro 2018 y Samsung S10.

Las computadoras portátiles con Windows 10 y dos unidades USB elegidas para esta prueba, Verbatim Fingerprint Secure y Lexar Jumpdrive F35, se desempeñaron mejor. Los investigadores creían que una razón para esto era que el algoritmo de comparación para Windows 10 residía en el propio sistema operativo, lo que significa que los resultados se comparten entre otras plataformas.

Los investigadores de Talos, Paul Rascagneres y Vitor Ventura, opinaron que “los resultados muestran que las huellas dactilares son lo suficientemente buenas como para proteger la privacidad de la persona promedio si pierden su teléfono. Sin embargo, una persona que probablemente sea el objetivo de un actor bien financiado y motivado no debe usar la autenticación de huellas dactilares”.

Leer -Los piratas informáticos están explotando el miedo al coronavirus para engañar a los usuarios para que hagan clic en correos electrónicos maliciosos

Si bien esta es una investigación que invita a la reflexión, el estudio en sí mismo ha declarado explícitamente que esta prueba requirió varios meses de trabajo que se dedicaron a crear los moldes de huellas dactilares, antes de crear con éxito el que funcionó contra el dispositivo. Por lo tanto, el panorama general sugiere el hecho de que esta tarea requiere mucho tiempo y es costosa, sin mencionar la cuestionable tasa de éxito en un escenario de ataque en tiempo real.