Los investigadores de Talos fabrican una falsificación que frecuentemente engañaba a las cerraduras de huellas digitales


Los duplicados impresos en 3D funcionaban en el teléfono y en una computadora portátil MacBook Pro, pero no en máquinas Windows o dos unidades de salto USB.

Dos investigadores de seguridad utilizaron una impresora 3D y pegamento de tela para crear una huella digital falsa que engañó a los sensores de autenticación el 80% del tiempo. Los otros ingredientes clave fueron el tiempo y la paciencia: se necesitaron 50 intentos para crear una falsificación que tuvo éxito.

Los analistas de seguridad Paul Rascagneres y Vitor Ventura explicaron su experimento en un nuevo informe, "Clonación de huellas digitales: mito o realidad? "Los dos analistas trabajan para Talos Security Intelligence and Research Group de Cisco. Los investigadores utilizaron una impresora 3D para crear un molde y luego recrearon la huella digital con pegamento de tela.

Las pruebas mostraron una tasa de éxito promedio de alrededor del 80%, lo que significa que las huellas digitales falsas engañaron a los sensores en computadoras portátiles, teléfonos y dispositivos inteligentes al menos una vez. Alcanzar esta tasa de éxito fue un trabajo difícil y tedioso, dijeron los investigadores.

El mayor desafío fue obtener el tamaño adecuado para la huella digital falsa; 1 por ciento demasiado pequeño o demasiado grande y la huella digital falsa no funcionó. Rascagneres duplicó su propia huella digital en el experimento. Dijo que el obstáculo más grande era obtener el tamaño correcto para la impresión falsa.

"Se necesita el tamaño exacto que espera el sensor y la impresión 3D no está diseñada para eso", dijo.

VER: Ciberseguridad: pongámonos tácticos (PDF gratis)

Ventura dijo que el objetivo del experimento era alentar a las empresas y a las personas a pensar dos veces antes de confiar en la autenticación de huellas digitales.

"Está bien para proteger la seguridad de la persona promedio, pero para ciertos usuarios como periodistas o políticos, no se recomendarían las huellas digitales", dijo.

Ventura dijo que si un mal actor quería instalar malware en el teléfono de una persona, el mayor impedimento es el tiempo que toma desbloquear el teléfono.

Agregó que la autenticación de huellas digitales no ha evolucionado mucho desde 2013 cuando se introdujo por primera vez.

"En todo caso, ha disminuido un poco porque ahora hay tecnología que no estaba disponible cuando se lanzó por primera vez", dijo.

Con el experimento, los investigadores quisieron responder tres preguntas:

  • ¿Cuáles son las mejoras de seguridad en el escaneo de huellas digitales desde que fue derrotado por primera vez en el iPhone 5?
  • ¿Cómo afecta la tecnología de impresión 3D a la autenticación de huellas digitales?
  • ¿Qué modelos de amenazas reflejan escenarios realistas?

Rascagneres y Ventura también establecieron un bajo presupuesto para el proyecto, con el supuesto de que si las huellas digitales se pueden replicar con suministros de bajo costo, la misma duplicación sería fácil para los actores patrocinados por el estado con fondos generosos.

¿Qué dispositivos fueron engañados?

Según los resultados del experimento, la autenticación de huellas digitales de teléfonos móviles se ha debilitado en comparación con cuando se rompió por primera vez en 2013. Los investigadores no encontraron una ventaja clara entre los tres tipos de sensores que probaron.

Al probar la impresión falsa con una MacBook Pro, los investigadores pudieron desbloquear la computadora portátil en el 95% de las pruebas. También probaron cinco plataformas de Windows y la impresión falsa fallaba cada vez. Rascagneres y Ventura escribieron que el algoritmo de comparación que verifica la validez de la huella digital reside en el sistema operativo Windows y se comparte en todas las plataformas.

"En este caso, creemos que no tuvimos éxito porque el algoritmo de Microsoft verifica más puntos en la huella digital que otros algoritmos", dijo Rascagneres.

Rascagneres dijo que generalmente es más difícil engañar a un escáner de huellas digitales en una computadora portátil que en un teléfono.

"Con un teléfono, lo desbloqueas mucho, pero para una computadora portátil es diferente, por lo que es fácil tener algo más estricto que en un dispositivo móvil", dijo.

El equipo también probó un candado y dos pen drives cifrados por USB. La autenticación del candado se engañó más del 80% del tiempo, pero la impresión falsa nunca funcionó con Verbatim Fingerprint Secure y Lexar Jumpdrive Fingerprint F35.

El equipo probó tres tipos de sensores: capacitivos, ópticos y ultrasónicos. Según el informe, la mayoría de los sensores son desarrollados por compañías externas y luego integrados al dispositivo, a excepción de Apple, que construye sus propios sensores después de adquirir AuthenTec en 2012.

Los investigadores probaron estos dispositivos:

  • iPad quinta generación
  • iPhone 8
  • Samsung S10
  • Samsung Note 9
  • Macbook Pro 2018
  • HP Pavilion x360
  • Huawei P30 Lite
  • Honor 7X
  • Lenovo Yoga
  • Un candado inteligente
  • Lexar Jumpdrive F35
  • Verbatim Fingerprint Secure
  • Samsung A70

Crear impresiones falsas

El experimento de Talos tuvo dos etapas: colección y creación. Primero, los investigadores recolectaron la huella digital específica utilizando tres técnicas, y luego crearon un molde. El equipo usó el molde para emitir la huella digital falsa y luego usó el falso para acceder a un dispositivo.

Utilizaron una impresora 3D UV LED con una precisión de 25 micras para crear el molde. Las crestas dérmicas de huellas digitales tienen aproximadamente 500 micras de ancho y 20-50 micras de profundidad.

Después de imprimir el molde, tuvo que curarse en una cámara UV durante unos minutos para que el objeto se solidificara. Este proceso también encogió el molde, lo que dificulta crear un tamaño consistente para cada molde.

El equipo de investigación tuvo que imprimir más de 50 moldes, crear una huella digital falsa con ellos y comparar los resultados y tamaños con un sensor de huellas digitales para tener un molde confiable y una huella digital falsa válida.

Ver también

<a href = "https://tr1.cbsistatic.com/hub/i/r/2020/04/07/95ca29d1-4cd1-44df-a80b-58690ac00ee2/resize/770x/ed2e1580aa115ff18f7e4c4e90d697cf/talos-fingerprint-mold.jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

Los investigadores de seguridad de Talos utilizaron una impresora 3D para crear un molde de huellas digitales como parte de un experimento para fabricar impresiones falsas. & Nbsp;

"data-credit =" Imagen: Informe de clonación de huellas digitales de Talos "rel =" noopener noreferrer nofollow ">talos-fingerprint-mold.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/04/07/95ca29d1-4cd1-44df-a80b-58690ac00ee2/resize/770x/ed2e1580aa115ff18f7e4c4e90d697cf/talos -fingerprint-mold.jpg

Los investigadores de seguridad de Talos utilizaron una impresora 3D para crear un molde de huellas digitales como parte de un experimento para fabricar impresiones falsas.

Imagen: Informe de clonación de huellas digitales de Talos

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/04/07/3a6f91d5-17dc-4953-9f80-37ef05ccc903/resize/770x/4e575196df7cd88bcad17a659af34a64/capacitive-fingerprint-sensor.jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

Estos sensores son los más comunes y utilizan la capacidad natural del cuerpo para leer las huellas digitales.

"data-credit =" Imagen: Informe de clonación de huellas digitales de Talos "rel =" noopener noreferrer nofollow ">capacitive-fingerprint-sensor.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/04/07/3a6f91d5-17dc-4953-9f80-37ef05ccc903/resize/770x/4e575196df7cd88bcad17a659af34a64/capacitive -fingerprint-sensor.jpg

Estos sensores son los más comunes y utilizan la capacidad natural del cuerpo para leer las huellas digitales.

Imagen: Informe de clonación de huellas digitales de Talos

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/04/07/3ba73846-42a8-4356-8f97-d6e6e907805c/resize/770x/55181b4dd6b64506d3ddf8a6dfe7b3c6/opticalfingerprint-sensor.jpg = "_ blank" data-component = "modalEnlargeImage" data-headline = "

Estos sensores leen la imagen de la huella digital mediante el uso de una fuente de luz que ilumina las crestas en contacto con el sensor. & Nbsp;

"data-credit =" Imagen: Informe de clonación de huellas digitales de Talos "rel =" noopener noreferrer nofollow ">opticalfingerprint-sensor.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/04/07/3ba73846-42a8-4356-8f97-d6e6e907805c/resize/770x/55181b4dd6b64506d3ddf8a6dfe7b3cprint-opticalfinderger .jpg

Estos sensores leen la imagen de la huella digital mediante el uso de una fuente de luz que ilumina las crestas en contacto con el sensor.

Imagen: Informe de clonación de huellas digitales de Talos

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/04/07/bbd39e81-6b8b-41bc-a4ea-01b5aadfa9c4/resize/770x/7a73541ea3735a90c387ac961e72b565/ultrasonicfingerprintsensor.jpg" target = " _blank "data-component =" modalEnlargeImage "data-headline ="

Los sensores ultrasónicos de huellas digitales emiten un pulso ultrasónico cuyo eco será leído por el sensor. Las crestas y los valles tendrán ecos diferentes que permitirán que el sensor cree una pseudoimagen a partir de la huella digital. & Nbsp;

"data-credit =" Imagen: Informe de clonación de huellas digitales de Talos "rel =" noopener noreferrer nofollow ">ultrasonicfingerprintsensor.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/04/07/bbd39e81-6b8b-41bc-a4ea-01b5aadfa9c4/resize/770x/7a73541ea3735a90c387ac961e72b565/ultrasonicfinfinprintse

Los sensores ultrasónicos de huellas digitales emiten un pulso ultrasónico cuyo eco será leído por el sensor. Las crestas y los valles tendrán ecos diferentes que permitirán que el sensor cree una pseudoimagen a partir de la huella digital.

Imagen: Informe de clonación de huellas digitales de Talos



Enlace a la noticia original