Los investigadores engañan a los escáneres biométricos con …



Las pruebas realizadas en los escáneres de huellas digitales de dispositivos Apple, Microsoft y Samsung revelan que es posible evitar la autenticación con una impresora 3D barata.

Los investigadores armados con un presupuesto de $ 2,000 y 13 teléfonos inteligentes, computadoras portátiles y otros dispositivos descubrieron que es posible evitar la autenticación de huellas digitales con copias duplicadas realizadas en una impresora 3D barata. Sus pruebas arrojaron alrededor de una tasa de éxito del 80% en promedio Sin embargo, el ataque no es fácil.

Los escáneres de huellas digitales llegaron a la corriente principal alrededor de 2013, cuando Apple introdujo TouchID en el Apple iphone 5. La autenticación biométrica se ha puesto a disposición en varios tipos de dispositivos: computadoras portátiles, teléfonos inteligentes, candados, unidades USB. Aunque los piratas informáticos pudieron eludir TouchID poco después de su lanzamiento, la autenticación de huellas digitales generalmente se considera un medio de autenticación más seguro que la contraseña para la mayoría de las personas, en la mayoría de los tipos de dispositivos.

La tecnología de escáner ha evolucionado para incluir tres tipos de sensores: ópticos, capacitivos y ultrasónicos. Cada uno de estos sensores reacciona de manera diferente dependiendo de los materiales y las técnicas de recolección. El tipo más común es capacitivo, que utiliza la corriente eléctrica pure del cuerpo para leer impresiones. Los sensores ópticos usan luz para escanear la imagen de la impresión. Los sensores ultrasónicos, el tipo más nuevo y comúnmente utilizado para los sensores en pantalla, utilizan un pulso ultrasónico para rebotar en el dedo El sensor de huellas dactilares lee el eco. Este tipo de sensor resultó ser el más fácil de evitar.

«Alcanzar esta tasa de éxito fue un trabajo difícil y tedioso», escriben los investigadores Paul Rascagneres y Vitor Ventura en una publicación de blog sobre sus hallazgos. «Encontramos varios obstáculos y limitaciones relacionadas con la escala y las propiedades físicas del material». Aun así, la tasa de éxito indica que tienen «una probabilidad muy alta» de desbloquear los dispositivos de prueba antes de que se active el desbloqueo con PIN. La autenticación de huellas digitales es suficiente para proteger a la mayoría de las personas, concluyeron, pero podría poner en riesgo objetivos de alto valor si un atacante bien motivado o bien motivado decidiera perseguirlos.

Establecieron un presupuesto de $ 2,000 para materiales para poner este ataque en un contexto del mundo actual, explica Ventura en una entrevista con Darkish Examining. «No queríamos tener mucho dinero», dice. «Queríamos tener esto dentro del presupuesto para poder ver si el Joe promedio podría hacer esto o no». Si una persona común pudiera lograr esto, razonaron, un actor patrocinado por el estado podría hacerlo.

Había tres objetivos clave para el proyecto: evaluar las mejoras de seguridad en los escáneres de huellas digitales, comprender cómo la tecnología de impresión 3D afecta la autenticación de huellas digitales y definir un modelo de amenaza para estos ataques. El equipo creó tres escenarios para capturar huellas digitales y crear moldes, cada uno de los cuales se realizó en un content diferente según el contexto. El primer escenario involucraba la recolección directa de la huella digital el segundo utiliza datos del sensor de un escáner de huellas digitales. En el tercero, levantaron las huellas digitales de otro objeto.

Una vez recogidos, los investigadores crearon moldes de las huellas digitales con una impresora 3D, que utiliza una resina tóxica que debe curarse con luz ultravioleta. Probaron varios materiales en los moldes, incluido el silicio y diferentes tipos de pegamento mezclado con polvo conductor. Para su sorpresa, el product más efectivo en su experimento fue el pegamento de tela de bajo costo.

«Eso fue una sorpresa para nosotros, el pegamento de tela», dice Rascagneres. «Es el substance perfecto».

«Nos tomó alrededor de tres meses poder hacer esto», dice Ventura, quien señala que este bypass sería «posible pero muy complejo» para que una persona común lo lleve a cabo. El tamaño del molde resultó ser el desafío más grande y más lento: cuando la resina se curaba bajo la luz ultravioleta, el molde cambiaba de tamaño. Debido a que las huellas digitales se miden en nanómetros, un ligero cambio provocó que el escaneo fallara. El equipo hizo más de 50 moldes a lo largo del proyecto.

Poner impresiones falsas a prueba
Los investigadores hicieron 20 intentos de autenticación en cada uno de los 13 dispositivos con la mejor huella digital falsa que pudieron crear. Probaron una variedad de teléfonos inteligentes, computadoras portátiles, tabletas y otros dispositivos, incluidos el Iphone 8, Samsung S10, Macbook Pro 2018, Lenovo Yoga y AICase Padlock. En algunos, no tuvieron éxito: el Samsung A70 no otorgaría acceso a la huella electronic falsa tampoco lo haría ningún dispositivo con Windows 10 de Microsoft.

Los investigadores señalan que el A70 también tenía una baja tasa de autenticación con huellas digitales legítimas. Destacan que el hecho de que no hayan tenido éxito al derrotar el inicio de sesión de Windows no significa necesariamente que sea más seguro. Su proyecto fue intencionalmente de bajo presupuesto, pero un presupuesto mayor podría permitir a los atacantes desarrollar un medio más efectivo para entrar.

Como management, probaron la misma huella digital en el MacBook Pro y lograron la misma tasa de éxito desbloqueada del 95% utilizando el método de recolección directa, que resultó ser el más efectivo de los tres métodos. El Honor 7x, también de Huawei, y el Samsung S10 también mostraron un mayor éxito, particularmente con los métodos de recolección directa y escáner de huellas digitales. Los investigadores compartieron sus hallazgos con todos los proveedores de dispositivos.

«Para un usuario ordinary, la autenticación de huellas digitales tiene ventajas obvias y ofrece una capa de seguridad muy intuitiva», escriben los investigadores en su put up. «Sin embargo, si el usuario es un objetivo potencial para atacantes financiados o su dispositivo contiene información confidencial, recomendamos confiar más en contraseñas seguras y autenticación de dos factores simbólicos».

La seguridad de autenticación de huellas digitales «no ha evolucionado mucho en siete años», dice Ventura. Aún así, es «lo suficientemente bueno» para que la mayoría de las personas confíen en la seguridad. Sugieren que los fabricantes limiten el número de intentos de escaneo para proteger la seguridad de cada dispositivo. Apple, por ejemplo, impone un límite de cinco intentos antes de pedirle al usuario un PIN. Samsung hizo lo mismo, pero exigió a los usuarios que esperaran 30 segundos después de cinco intentos fallidos, que se pueden repetir 10 veces. El dispositivo Honor se probó más de 70 veces y continuó permitiendo el escaneo.

Contenido relacionado:

Kelly Sheridan es la Editora de particular de Dark Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policies & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Más strategies





Enlace a la noticia primary