Empiezan los problemas de seguridad para los nuevos sensores de huellas de los teléfonos Android

Creo que no has entendido bien lo que @acerswap quiere decir.

@acerswap no discute que la huella esté o no segura en el sistema de Apple, si no que la autentificación con el lector de huellas de Apple puede ser vulnerable desde el punto de vista de software, haciendo de la autenticación biométrica propiamente algo secundario.

Por ejemplo: se instala en un iPhone una aplicación que permite comprar entradas de cine sin necesidad de introducir siempre los datos bancarios. Se protege el pago automático mediante autenticación biométrica a través del sensor de huellas.

La aplicación, antes de realizar un pago, solicita a iOS una verificación del usuario mediante huella dactilar.
iOS, a su vez, pide al sensor la verificación. El usuario pone el dedo en el sensor y el sensor responde con un "OK" o un "ERROR". iOS recibe la información y se la da a la aplicación.

Pues bien, si, por ejemplo, se "hackease" mediante algún error esa parte de iOS que hace de pasarela entre el hardware y la aplicación para que siempre devolviese un "OK", incluso cuando el sensor dice "ERROR", la aplicación creería recibir siempre un "OK" legítimo y haría los pagos aunque el dedo puesto en el sensor fuese el de otra persona.

Otra vulnerabilidad sería "hackeando" la capa de software del sensor que comunica el sensor propiamente hablando (el "lector" físico) con iOS, haciendo que siempre devolviese "OK".

Otra vulnerabilidad sería "hackeando" la app. Ya sea porque el desarrollador tiene intenciones ilegítimas, o por acción de un hacker, etc. Se dieron los datos bancarios a la app y se la autorizó ante el banco para hacer cobros. La app ya puede hacer cargos indiscriminadamente: ya sea siempre que quiera o asumiendo que siempre recibe un "OK", aunque sea falso.

Otra vulnerabilidad sería engañar a la app haciéndole creer, de alguna manera, que está hablando con iOS a la hora de solicitar la verificación biométrica y falsear los resultados del sensor, por ejemplo, devolviendo siempre un "OK".

A ésto se refiere @acerswap cuando dice que lo que se autoriza es el móvil. La verificación biométrica no interviene más que desde un punto de vista interno del móvil: el servidor (tu banco) no sabe si verificaste tu identidad con tu huella, una contraseña, si no lo hiciste o si se ha hecho algo de lo anterior.

Lo seguro sería que el sensor de huellas aportase un "token" de un único uso basado en la huella cifrada y que el servidor pudiese, así, verificar que la orden de compra la ha hecho efectivamente la persona correcta. OJO, no se trata de sacar la huella del sensor, ni cifrada ni sin cifrar; si no de usar la huella cifrada para crear un token de un único uso mediante algoritmos asimétricos (SHAxxx, MD5, etc). Algo similar se hace actualmente para navegar de forma segura mediante HTTPS (y muchos otros protocolos de seguridad).

Todo eso está muy bien, pero esas hipotéticas vulnerabilidades no se han podido reproducir por una razón, y es que apple ha implementado una cosa llamada secure enclave a nivel hardware en el chip, aislado del resto del sistema y con su propio microkernel.

No ha habido forma de romper esa comunicación ni la comunicación cifrada entre el hardware del teléfono, mucho menos que lo haga una aplicación que está asilada de todo el sistema de touchid.

Si la seguridad está bien implementada en el hardware del iphone y hasta que se demuestre lo contrario, yo lo prefiero a cualquier sistema de autenticación externa, quizá se te ha olvidado el reciente agujero de HTTPS con Heartbleed.

Por no hablar de que con tu solución de servidor se requiere conexión a internet, no siempre disponible, y con el sistema de Apple se permite el pago aunque no tengas conexión (estaciones de metro, aviones, o cualquier otra circunstancia sin conexión)

Apple tiene un intesante documento sobre seguridad en iOs donde explican parte de estos detalles de seguridad con touchid y el enclave seguro.

https://www.apple.com/business/docs/iOS_Security_Guide.pdf

Hearbleed no era un error en el protocolo HTTPS, si no en una implementación de éste (OpenSSL). Por eso HTTPS se sigue considerando un protocolo seguro. Es cierto que OpenSSL es (probablemente) la librería SSL más utilizada, y de ahí la trascendencia de Heartbleed, pero el protoloco en abstracto no se vio amenazado en ningún momento: no es vulnerable (que se sepa).

Digo ésto para separar lo que el protocolo en sí, que también puede tener errores; de la implementación de éste (ya sea en hardware o en software).

Puede que no se hayan encontrado errores de hardware o de software en lo relativo a TouchID, pero el "protocolo" adolece de lo que indicaba @acerswap: la verificación biométrica es secundaria, lo autorizado siempre es el iphone concreto, da igual el TouchID.

Personalmente, no me fío de ningún sistema así (tampoco me fío en Android, conste).

El lector de huellas del 5s lo hackearon, supongo que ese estaba mal implementado y se estaba pagando por algo mal implementado...

Ya, ¿y cómo se consigue saltar la seguridad de un S5, por ejemplo?. teniendo acceso físico al móvil.

Pero esto si es hackeo, y lo del 5s no... Luego hablamos de la propiedad, vaya tela...

Mentira.

Como van a hablar bien de Apple si estamos en XatacaAndoid,
Oh wait !

A Negativos te freirán por hablar bien de Apple.

android es el windows de los smartphone coladeros de virus como locos y tener tu buen antivirus ahi instalado para tener la sensacion de seguridad sin estarlo

Dime un solo caso en el mundo entero de gente infectada en su android, te lo digo yo, ninguno, son todo nada mas que noticias sensacionalistas, el problema es que tu te las crees.

mira que en esta noticia hay comentarios no muy inteligentes, pqero que no me apetecen replicar, me aburren, pero tu comentario no puedo dejarlo pasar...soy usuario android desde que nació practicamente, tan solo te dare un consejo antes de criticar a la gente con un argumento busca información sobre ese argumento , porque decir que nadie en el mundo se infecto en android demuestra que no has buscado informacion sobre este tema....

Punto y aparte, y cambiando de tema , lo unico que queria decir del articulo , es que los fabricantes deberian ponerse mas serios con la seguridad en los lectores de huellas, ¿por qué? poque hay que tener muchissimo cuidado con el robo de las huellas dactilares.... que te roben una contraseña tiene un peligro relativo, el usuario siempre puede modificar la contraseña, o bien el usuario puede asignar diferentes contraseñas a diferentes servicios, de esta forma el robo es menos importante.. ¿pero que hace el usuario con la huella dactilar si se la han robado? ¿ se la quema para que tenga una nueva forma ( esto es una broma no lo hagais, en serio)

Si me puedes nombrar un sólo virus para Android, te compro el smartphone que prefieras. Si aceptas la apuesta y no encuentras ninguno, me lo compras tú a mi.

¿Aceptas?

A bote pronto uno de los primeros que recuerdo con nombre y apellidos , sin que la gente lo llamase "malware"

http://www.movilion.com/virus-badnews-dispositivos-android/

y te puedo decir que yo he limpiado el telefono de un malware que lo que hacia era instalarte varios widgets en la pantalla home , y cada vez que eliminabas ese widget la app lo volvia a colocar, y ese widget era un accesso directo a paginas de casinos y pornos premium....

Bueno no seria exactamente un virus...seria mas parecido a un troyano que a un virus....Badnews se instalaba recopilaba informacion y ademas te abria la puerta para instalar un programa de sms premium

Por cierto gente, cuando hablais de malware ¿ a que os referis? porque utilizais mal el termino "malware" es todo aquello que puede hacer "daño" en tu ordenador o al usuario... es decir malware es un troyano, un virus, adware,spybots, keyloggers, etc,etc... todo eso es malware..

El antivirus en android no vale para nada. Hay que diferenciar virus de malware. Virus no hay ninguno porque la seguridad en dispositivos móviles es muy estricta. malware si hay, pero te contaré un secreto: si está es porque la persona dio su permiso. Se ha "arreglado" ahora que puedes manejar cada permiso por independiente en android 5.1.

Todavía no he tenido un virus en ninguno de mis android, ni ningún familiar que yo conozca...así que tu comentario carece de lógica alguna. Sí, vale, la libertad, tiene más riesgos, pero si sabes manejarte no tendrás problema. Ni mi abuela, que no se aclara con su teléfono, ha tenido problema alguno, y todavía no he conocido, Android con virus. Está claro que puede ser más vulnerable, pero la libertad a veces conlleva sacrificios, aunque como te digo, nunca me han traído ningún android para que le quitara un virus.

Android es el Windows de... Wow qué?
La única similitud que comparten, es que son los OS más usados que puedes encontrar. De ahí que hayan más personas dedicándose a encontrar y aprovechar brechas de seguridad.
No es como que otros OS sean 100% seguros, es sólo que nadie ha intentado seriamente buscarles un problema de seguridad.

¿Me dices qué elementos de seguridad de Android tienen que ver con estos fallos de seguridad?

Te lo digo yo, los elementos que NO TIENE, obligando a los fabricantes que usan android a implementar soluciones propietarias para sus lectores de huella que se están revelando altamente chapuceras.

Es decir, un fallo por omisión, que es igual de grave.

No, tú no eres un mortal que vaga por las sombras, tú directamente eres un troll que no hace más que soltar idioteces.

Que un sistema operativo no tenga soporte nativo de una función no dice nada de ese sistema operativo.

Y, como veo que ni siquiera eres capaz de leer las fuentes originales, el problema no es de Android, el problema es del sensor, ya que aplica a Windows. ¿También vas a decir que el culpable es WindowS?

Pero ya sabemos que hablar contigo es como hablar con una gaviota, el resultado es el mismo, mucho esfuerzo para recibir sólo un montón de guano.

A ver si un día a los que no aportan una mierda y sólo hacen que soltar odio como les mandan a tomar por saco. No me extraña que tengas el perfil privado, los trolles tienen eso, que son tan cobardes que sólo intentan esconderse

Digo yo: ¿Qué culpa tendrá el pobre Android de que los fabricantes sean unos chapuceros con sus sensores?

Como si no las tuviera ya... El problema es que otros la quieran.

Lastima que el software que es igual (o mas) importante no salga bien a tiempo...

mas bien reiniciabas, porque a la primera semana de salir 8.4 arreglando el problema, el 40% de dispositivos iOs ya estaba actualizado.

Vamos a ver cuantos android se actualizan con el "problemilla" de los mms o si es mejor tirarlos a la basura y comprar otros.

Apple se encarga de la construcción del OS y Hardware.
Google sólo del OS.
Queda en cada fabricante implementar un buen Hardware, nada mas.
Ya se verá con Android M si el problema está por demás resuelto por parte del OS. De ser este el caso, los problemas podrían recaer en cada fabricante con los sensores que implementen.
Y con iOS, por favor, que ya nadie se acuerda de los problemas que hubo con iOS 8 en los iPhone 5 y 5s? Qué poca memoria como para decir que son "perfectos".