Se cree que la autenticación biométrica es una alternativa más segura a las contraseñas tradicionales. La autenticación de huellas dactilares es actualmente la forma más común de biometría y se usa en teléfonos inteligentes, computadoras portátiles y otros dispositivos como cerraduras inteligentes y unidades USB.
Sin embargo, un estudio de Cisco Talos encontró que el 80% de la autenticación de huellas dactilares se puede eludir fácilmente.
Para sus pruebas, los investigadores tomaron huellas digitales directamente del usuario objetivo del dispositivo o de superficies que una víctima potencial había tocado. Al mismo tiempo, los expertos establecieron un presupuesto relativamente bajo para este estudio a fin de determinar qué puede lograr un atacante con recursos limitados. Entonces, en total, gastaron alrededor de $ 2,000 en probar dispositivos de Apple, Microsoft, Samsung, Huawei, etc.
Los expertos procesaron las impresiones resultantes con filtros para aumentar el contraste, utilizaron una impresora 3D para crear impresiones y luego formaron una impresión falsa, llenando este formulario con pegamento económico. Al trabajar con sensores capacitivos, los materiales también debían incluir grafito y polvo de aluminio para aumentar la conductividad.
norte
Los analistas probaron huellas dactilares falsas en escáneres de huellas dactilares ópticos, capacitivos y ultrasónicos, pero no encontraron diferencias significativas en términos de seguridad. Pero Cisco Talos señala que lograron el mejor rendimiento atacando sensores ultrasónicos, que son los más recientes y generalmente integrados en la pantalla del dispositivo.
Resultados de la prueba.
La forma más fácil de hacer trampa con huellas dactilares falsas fue el bloqueo AICase, así como los teléfonos inteligentes Huawei Honor 7x y Samsung Note 9 basados en Android. Para estos dispositivos, los ataques fueron 100% exitosos.
Video promocional:
Los ataques al iPhone 8, MacBook Pro 2018 y Samsung S10 tuvieron casi el mismo éxito, con una tasa de éxito de más del 90%.
Cinco modelos de portátiles con Windows 10 y dos unidades USB (Verbatim Fingerprint Secure y Lexar Jumpdrive F35) mostraron los mejores resultados: no podían ser engañados con una falsificación.
Por lo tanto, en el caso de los teléfonos móviles, los investigadores evitaron la autenticación de huellas dactilares en la gran mayoría de dispositivos. En las computadoras portátiles, logramos lograr un 95% de éxito (fue especialmente fácil con la MacBook Pro), pero no fue posible eludir la protección de los dispositivos con Windows 10 a bordo usando el marco de Windows Hello.
Los analistas escriben que a pesar de que no lograron engañar a la autenticación biométrica en máquinas con Windows y unidades USB, esto no significa que estén tan bien protegidos. Solo se necesita un enfoque diferente para descifrarlos. Es poco probable que se resistan a un atacante con un buen presupuesto, muchos recursos y un equipo profesional.
Si bien el Samsung A70 también ha demostrado su capacidad de recuperación, los investigadores explican que su autenticación biométrica simplemente funciona muy mal y, a menudo, ni siquiera reconoce las huellas digitales reales que se han registrado en el sistema.
Con base en los resultados obtenidos, los expertos concluyen que la tecnología de autenticación de huellas digitales aún no ha alcanzado un nivel a partir del cual pueda considerarse confiable y segura. De hecho, los investigadores escriben que la autenticación de huellas dactilares de teléfonos inteligentes se ha debilitado desde 2013, cuando Apple introdujo TouchID para el iPhone 5, y luego el sistema fue pirateado.
Autor: Maria Nefedova
