Muchas personas en todo el mundo usan sistemas de reconocimiento biométrico como método de autenticación, pero la investigación realizada por el equipo de inteligencia de amenazas de Cisco Talos demostró que los escáneres de huellas digitales no son seguros. Los investigadores han logrado hackear varios dispositivos usando una impresora 3D, un software y un pegamento de bajo costo.
La investigación consistió en dos etapas: colección y creación. La primera etapa consistió en recolectar una huella digital directamente del usuario objetivo o de una superficie tocada por la víctima. Luego, los investigadores utilizaron una impresora 3-D para crear los moldes basados en la información recopilada previamente.
Para sus experimentos, los investigadores utilizaron las huellas digitales disponibles públicamente del infame gángster Al Capone.
El equipo ha creado huellas digitales falsas llenando el molde con pegamento de tela de bajo costo y probándolos contra sensores capacitivos, ópticos y ultrasónicos. Aunque Cisco Talos no encontró grandes diferencias en términos de seguridad, el equipo dijo que lograron la mayor tasa de éxito contra los sensores ultrasónicos.
En el caso de los dispositivos móviles (incluido el iPhone 8 y Samsung S10) y las computadoras portátiles (incluido el Samsung Note 9, Lenovo Yoga y HP Pavilion X360), los investigadores dijeron que sus huellas digitales falsas no funcionaban en el Samsung A70 y no tuvieron éxito contra el marco de Windows Hello, que solo está disponible en Windows 10. Al probar cinco plataformas diferentes de Windows, los resultados fueron los mismos.
“Como control, probamos el mismo clon en el MacBook Pro y obtuvimos la misma tasa de éxito del 95 por ciento desbloqueado. La razón de los mejores y recurrentes resultados de las plataformas de Windows es el hecho de que en todas las plataformas el algoritmo de comparación reside en el sistema operativo, por lo tanto, se comparte entre todas las plataformas ", dijo el equipo.
Los investigadores también probaron las huellas digitales falsas en un candado inteligente y dos unidades de memoria USB con cifrado USB de Verbatim y Lexar. En ambos casos, no pudieron omitir la autenticación de huellas digitales.
“Logramos una tasa de éxito de ~ 80 por ciento mientras usamos las huellas digitales falsas, donde los sensores se omitieron al menos una vez. Alcanzar esta tasa de éxito fue un trabajo difícil y tedioso. Encontramos varios obstáculos y limitaciones relacionadas con la escala y las propiedades físicas del material. Aun así, este nivel de tasa de éxito significa que tenemos una probabilidad muy alta de desbloquear cualquiera de los dispositivos probados antes de que vuelva a caer en el desbloqueo del pasador ", dijeron los investigadores.
“Los resultados muestran que las huellas digitales son lo suficientemente buenas como para proteger la privacidad de la persona promedio si pierden su teléfono. Sin embargo, una persona que probablemente sea blanco de un actor bien financiado y motivado no debe usar la autenticación de huellas digitales ".
https://www.cybersecurity-help.cz/blog/1088.html
