Hace unos días advertimos de la
vulnerabilidad Stagefright, que que ponía en peligro el 95% de los dispositivos Android. Ahora se trata de los lectores de huellas dactilares incluidos en algunos modelos de estos
móviles.
Los investigadores de la empresa de seguridad FireEye,
Tao Wei y Yulong Zhang, develaron estos fallos en su
presentación Fingerprints on Mobile Devices: Abusing and Leakingdes
durante la conferencia Black Hat en Las Vegas. Para su investigación
los trabajadores tomaron los modelos Samsung Galaxy S5 y HTC One Max.
Sin embargo, se trataría de un problema compartido por el resto de
teléfonos
Android.
El problema está en que los posibles atacantes podrían robar
masivamente
huellas dactilares. Obteniendo, además, una imagen en alta
definición. Para empeorar las cosas, el sensor en algunos dispositivos
sólo está controlado por
"system" en vez de
"root", haciendo más fácil el ataque. En otras palabras: el
rooting o
jailbreaking
del teléfono puede exponer a un mayor riesgo el dispositivo. Una vez
logrado el ataque, el sensor puede seguir recoger datos de las
huellas
dactilares de cualquier persona que utilice el sensor.
"En este ataque, los datos de las huellas dactilares de las víctimas
caen en manos del atacante y este podrá utilizarlas el resto de su vida"
dijo Zhang. Este es un gran problema porque las huellas dactilares son
moneda corriente en los pagos a través de dispositivos móviles y se
utilizan para probar identidad, en inmigración y para antecedentes
penales.
Los proveedores afectados ya han proporcionado los parches después de
ser alertados por los investigadores pero deberán ser distribuidos a los
clientes, un proceso que mediante OTA suele llevar bastante tiempo.
Los investigadores señalaron que el iPhone de Apple, que fue pionero en el sensor de huella digital moderno, es
"absolutamente seguro"
al menos a este ataque porque cifra los datos de la huella digital del
escáner. Incluso si el atacante puede leer directamente el sensor, sin
obtener la clave de cifrado, no podría obtener la imagen de la huella
digital.
El problema no se limita a dispositivos móviles. Los investigadores
advirtieron que muchos de los ataques también se aplican a los
ordenadores portátiles de gama alta con sensores de huellas digitales.
Una estimación, de la que
se hace eco ZDNet, calcula que para 2019 la mitad de los dispositivos incorporarán huellas entre sus funcionalidades.
