Brecha de seguridad de Android: la huella dactilar no sirve para nada

Investigadores de Tencent Labs y la Universidad de Zhejiang han revelado una nueva vulnerabilidad que pone en entredicho la seguridad de los móviles Android. Denominado «BrutePrint», este ataque de fuerza bruta permite a los ciberdelincuentes saltarse la autenticación biométrica de huellas dactilares y tomar el control del teléfono.

Los ataques de fuerza bruta son conocidos por su método de prueba y error, donde se intentan múltiples combinaciones para descifrar códigos o contraseñas y obtener acceso no autorizado a sistemas protegidos. En este caso, los investigadores chinos lograron superar las protecciones existentes en los smartphones modernos, aprovechando dos vulnerabilidades de día cero llamadas «Cancel-After-Match-Fail» (CAMF) y «Match-After-Lock» (MAL).

Así funciona este método

El estudio técnico, publicado en Arxiv.org, revela además que los datos biométricos capturados por los sensores de huellas dactilares a través de la interfaz periférica serie (SPI) no estaban adecuadamente protegidos. Esto permitía un ataque de intermediario (MITM) para obtener imágenes de huellas dactilares y, así, facilitar el proceso de manipulación.

Los investigadores realizaron pruebas de los ataques BrutePrint y MITM SPI en diez modelos populares de smartphones. Los resultados mostraron que los dispositivos con Android y HarmonyOS (Huawei) eran vulnerables a intentos ilimitados, mientras que en iOS se permitían diez intentos adicionales, evidenciando que un iPhone es mucho más eficiente en términos de seguridad y vulnerabilidad del sistema.

El funcionamiento de BrutePrint se basa en enviar un número ilimitado de imágenes de huellas dactilares al smartphone hasta que se produzca una coincidencia con la huella definida por el usuario. Sin embargo, este ataque requiere acceso físico al equipo, así como una base de datos de huellas dactilares que puede obtenerse de filtraciones o conjuntos de datos académicos.

A diferencia del método tradicional de fuerza bruta para descifrar contraseñas, el ataque BrutePrint se aprovecha de un umbral de referencia utilizado en las coincidencias de huellas dactilares. Los atacantes pueden manipular la Tasa de Falsa Aceptación (FAR) para aumentar el umbral de aceptación y, de esta manera, generar coincidencias más fácilmente.

Android queda vulnerable

Pese a que el ataque BrutePrint requiere acceso prolongado al móvil Android en cuestión, esto no limita su valor para los delincuentes y las fuerzas de seguridad. Los primeros podrían desbloquear dispositivos robados y acceder a información privada de valor, mientras que los últimos plantean interrogantes sobre los derechos de privacidad y la ética al utilizar estas técnicas para evadir la seguridad de los terminales durante investigaciones.

Es importante señalar que, según los investigadores, los móviles que funcionan con Android, y que han sido probados, permitieron la prueba de un número infinito de huellas dactilares, lo que implica que es prácticamente posible forzar la huella dactilar del propietario si se dispone de suficiente tiempo. En cambio, la seguridad de la autenticación en iOS es mucho más robusta, lo que dificulta eficazmente los ataques de fuerza bruta.

Aunque los investigadores también identificaron vulnerabilidades en smartphones de Apple, como el iPhone SE y el iPhone 7, solo pudieron aumentar el número de intentos de huella dactilar a 15, lo cual resulta insuficiente para superar la seguridad del propietario.

Fuente > Arvix

Vía > Bleeping Computer

 

Inicia sesión en Google utilizando la huella dactilar con Passkey, la 'llave de acceso' que es más segura y cómoda que una contraseña.

Google ha decidido lanzar una nueva manera de autentificarse utilizando el teléfono que supera en seguridad a las contraseñas tradicionales y a la autentificación en dos pasos, se trata del llamado Passkey o llave de seguridad.

Google ha decidido lanzar esta característica para sus usuarios, y esta permite utilizar autentificación biométrica como tu rostro o tu huella dactilar para iniciar sesión en tu cuenta, algo mucho más rápido —y seguro— que introducir la contraseña de la cuenta.

A continuación, vamos a enseñarte cómo puedes activar la Passkey para iniciar sesión de la manera más segura posible en Google utilizando tu huella dactilar, desbloqueo facial o PIN.

Cómo activar Passkey en Google

Para crear las llaves de acceso debes ir a la sección que Google ha creado para gestionar todo lo referente a esta función. Puedes acceder pulsando sobre este enlace. 

Después tendrás que pulsar sobre el botón usar llaves de acceso para que Google te permita usar este método para iniciar sesión en el dispositivo desde el que lo acabas de activar. Incluso puedes hacerlo en el ordenador, aunque necesitarás tener el móvil cerca para poder utilizar esta característica.

De esta forma, la próxima vez que quieras iniciar sesión en tu cuenta de Google con este dispositivo únicamente tendrás que utilizar el método de desbloqueo que utilizas para tu teléfono.

Google ha implementado el desbloqueo por huella dactilar en otros elementos de Android como a la hora de pagar en Google Pay, y es una buena noticia que este tipo de métodos de desbloqueo vayan llegando a cada vez más lugares.

Como funciona la Passkey

Para iniciar sesión en una app o web, sólo tenemos que desbloquear el móvil Google

El nombre que recibe esta característica puede traducirse como llave de acceso, y consiste en utilizar un método de autentificación de tu teléfono para iniciar sesión sin necesidad de recordar la contraseña.

Al fin y al cabo las contraseñas pueden contar con vulnerabilidades, por muy bien elaboradas que estén, por lo que la idea de Google es que puedes utilizar el mismo método para desbloquear tu móvil que tu cuenta y hacer así que sea un proceso sencillo.

Además, estas llaves de acceso cuentan con un mayor grado de seguridad que la autentificación en dos pasos, y lo bueno es que no pueden ser filtradas como sí que sucede de vez en cuando con las contraseñas.

La llegada de la IA ha hecho que las claves alfanuméricas cada vez tengan menos misterios para los ciberdelincuentes, y, desde luego, son un método de desbloqueo que puede ser poco seguro.

El futuro no pasa por contraseñas más complejas, sino por dejar de utilizar contraseñas y que estas sean sustituidas por métodos de inicio de sesión tan cómodos como este, y de ahora en adelante, solo necesitarás tu huella para acceder a tu cuenta.

 

WhatsApp te permitirá proteger chats específicos con huella dactilar

Proteger chats individuales con huellas dactilar en una de las nuevas características que está preparando el equipo de WhatsApp.

Así que más allá de las medidas de seguridad que implementes para proteger la app de WhatsApp, podrás tener chats completamente privados y alejados de cualquiera que tome tu móvil.

Cómo bloquear chats de WhatsApp con huella dactilar

Más allá de las opciones que tengamos en el móvil para proteger la app de WhatsApp, dentro de la aplicación tenemos una opción de seguridad que nos permite bloquear el acceso a los chats.

Una forma simple y práctica para mantener nuestras conversaciones de WhatsApp privadas y ocultas, aún cuando prestamos el móvil. Para ello, solo necesitas ir a Ajustes de la app >> Privacidad >> Bloqueo con huella dactilar. Cuando activas esta opción, solo podrás abrir la app de WhatsApp con tu huella dactilar. Y como extra, esta opción te permite configurar el bloqueo automático de la app cuando pase determinado período de tiempo.

Si bien es una dinámica fácil de implementar que nos puede ser de utilidad para proteger nuestras conversaciones, no nos permite aplicar esta opción a un chat específico, sino que afecta a toda la app de WhatsApp. Esto puede ser un problema para algunos usuarios, que no quieren tener que pasar por la pantalla de desbloqueo cada vez que quieren usar la app, ya que solo quieren proteger un chat específico.

Por el momento, no hay una función nativa que nos permite proteger con huella digital un chat específico, pero es posible que WhatsApp la sume a la app en breve.

Nueva opción para proteger chats específicos de WhatsApp

Tal como mencionan en WABetaInfo, el equipo de WhatsApp está preparando una nueva función de seguridad: chats protegidos.

Más allá de las opción que nos permite bloquear y proteger la app con huella dactilar, WhatsApp nos permitirá aplicar la misma dinámica para chats específicos. Es decir, podrás tener la app de WhatsApp sin protección y optar por bloquear un chat específico con huella digital.

Si bien no hay demasiados detalles sobre esta nueva opción, parece que WhatsApp planea mantener a los chats protegidos con huella dactilar separados del resto de las conversaciones. Así que no solamente estarán protegidos, sino que también estarán ocultos.

Por otro lado, el contenido que recibamos en estos chats no se guardarán en la galería del móvil, y las notificaciones tampoco se mostrarán en el móvil. Por el momento, solo se trata de una función en desarrollo, así que tendremos que esperar que pase a la fase de pruebas para conocer su funcionamiento.