BrutePrint, el nuevo hackeo para robar tus datos

¿Y si os dijese que si perdéis de vista vuestro móvil 45 minutos, otra persona podría haber accedido a él saltándose el bloqueo de huella dactilar?, pues con BrutePrint se puede.

Todos pensamos que, si nuestro dispositivo está bloqueado mediante un dato biométrico, nadie va a poder acceder a él. Sin embargo, y aunque sigue siendo más seguro que una simple contraseña, ya no es así.

Los investigadores chinos de Tencent Labs y la Universidad de Zhejiang han diseñado un aparato para ejecutar un ataque de fuerza bruta con intentos ilimitados, que puede descifrar la huella dactilar y acceder al dispositivo. Lo han llamado BrutePrint.

Durante las pruebas descubrieron que los dispositivos Android son más fáciles de vulnerar, mientras que los dispositivos de Apple son más difíciles.

¿Qué se necesita para que funcione BrutePrint?

  • En primer lugar, disponer del dispositivo durante unos 45 minutos, que es lo que puede tardar el proceso de desbloquear el dispositivo.
  • En segundo lugar, debe disponerse de una base de datos de huellas, que se puede obtener de una fuga de datos biométricos, por ejemplo. Sin embargo, no es necesario que la huella exacta se encuentre en esa base de datos. El aparato usa varios trucos para que el margen de error que detecta el dispositivo sea mayor y sirva una huella parecida.
  • BrutePrint se tiene que colocar entre el sensor de huellas y el TEE (entorno de ejecución confiable). Esto le permite, por un lado, modificar la precisión de la huella necesaria y por otro evita que los intentos fallidos se contabilicen.

En resumen, si una persona con este aparato en su poder (que no lo hemos mencionado antes, costaría en torno a 15 dólares), se quedase a solas con tu dispositivo, dispondría de intentos ilimitados para encontrar una huella parecida a la tuya para desbloquear tu dispositivo.

Si es un Smartphone Android, es muy posible que lo consigan. Los sistemas IoS cifran los datos biométricos por lo que son más difíciles de vulnerar.

Reflexión Final

Esta diferencia entre tener cifrados los datos biométricos o no, es vital para entender, que hoy estamos hablando de smartphones, pero esta tecnología podría empezar a usarse para otros tipos de cerraduras, o sistemas que usan datos biométricos como medida de seguridad.

La falsa sensación de que una huella dactilar era segura como medida de bloqueo, hizo que “de base” los sistemas Android no se molestasen en cifrar esa información, y eso mismo se ha convertido en una debilidad. Lo más probable es que existan más sistemas vulnerables por esta razón. Eso es algo que deberíamos empezar a corregir y tener en cuenta a la hora de elaborar nuevos sistemas de seguridad.

Que algo no sea posible hoy, no significa que no se pueda hacer mañana.

 

Francisco Javier Reiz 

Consultor E-learning

Equipo ES-CIBER