Acceder a la información del sensor de huellas es demasiado fácil, según FireEye Labs

Acceder a la información del sensor de huellas es demasiado fácil, según FireEye Labs
11 comentarios Facebook Twitter Flipboard E-mail

Tan importante es la calidad de hardware como el proceso que conlleva en cuanto a software cuando hablamos de sensores, y más cuando atañe a la seguridad. Esta segunda parte es la que, según apuntan desde FireEye Labs, falla en el registro de huellas dactilares en el HTC One Max y en otros terminales al quedar esta información demasiado accesible.

Según explica el equipo de FireEye en su trabajo, la información generada tras escanear la huella queda guardada en un archivo de imagen desencriptado y fácilmente leíble. La ruta del archivo es /data/dbgraw.bmp con el permiso 0666 (accesible a todo el mundo), de modo que cualquier app o usuario podría acceder tanto de manera local como remota.

Se establece así una paradoja en cuanto a lo único de la huella dactilar, ya que la ventaja de que sea específica e inalterable deja obviamente sin posibilidad de modificación como sí ocurre con una contraseña en el caso de que se sospeche que ha sido averiguada.

Sin que sea el único terminal que presenta problemas, el caso del HTC One Max es el ejemplo con el que ilustran este fallo de seguridad, y en su caso además el sistema del sensor de la huella se actualiza en cada escaneado, es decir, pone a disposición del posible intruso un mapa de bits actualizado cada vez.

Un vistazo a…
Así gana dinero Samsung: el secreto está en el IPHONE

Todos han de mejorar

En este estudio se diferencian dos sistemas de procesamiento de la información proveniente del sensor de huellas: el básico, que apenas protege el acceso a ésta siendo accesible por root, y otro en el que existe una “zona de confianza” (Trust Zone) que media el acceso a la información del sensor y ofrece una mayor protección.

Sin embargo, el hecho de que se incorpore esta segunda modalidad más segura tampoco supone una barrera absoluta en cuanto al acceso no autorizado, en gran parte porque las propias compañías no implementan bien el sistema al no obligar a que el acceso a la información del sensor por parte de apps o usuarios pase por esta barrera.

Como decíamos, el HTC One Max forma parte del primer grupo sin ser el único, también está el Samsung Galaxy S5 y muchos otros que los investigadores no han especificado, si bien puntualizan que tras ser avisados con las conclusiones de este mismo trabajo todos los fabricantes han reparado el fallo (puntualizan, no obstante, que no han obtenido respuesta de HTC y Samsung).

Algo más común de lo que parece

De hecho, el equipo de FireEye va más allá de los sensores de huellas de los smartphones y aluden en sentido de esta "facilidad" de acceso a otros sistemas en apariencia más complejos y comunes, como los accesos de bancos, oficinas de inmigración y otros casos en los que se utiliza la identificación mediante huella digital.

Este estudio ha sido presentado en la conferencia sobre seguridad Black Hat en Las Vegas. En el mismo aconsejan cómo proceder tanto a usuarios (recomendando el uso de apps de confianza) y a los fabricantes, sobre todo en miras a sistemas de pago como Android Pay, Apple Pay o Samsung Pay basados en la huella dactilar.

Vía | Black Hat
En Xataka Móvil | Empiezan los problemas de seguridad para los nuevos sensores de huellas de los teléfonos Android

Comentarios cerrados
Inicio