Dos estudios recientes han revelado errores de seguridad en los sistemas de identificación biométrico de dispositivos iOS y Android, que habrían permitido accesos no autorizados al forzar tanto el sistema de reconocimiento de huellas dactilares como el facial.
Los sistemas de reconocimiento biométrico son herramientas de seguridad integradas en los dispositivos electrónicos que permiten un control de acceso que solicita a los usuarios identificarse con características físicas.
Un estudio reciente, realizado por la organización dedicada a la protección de los consumidores Which?, señala que estos sistemas habrían registrado una vulnerabilidad que habría afectado a 19 de los 48 'smartphones' de algunas marcas destacas, como Samsung, Motorola o Nokia.
«Ningún sistema biométrico es infalible», ha insistido Which?, que ha llevado a cabo una serie de pruebas con las que ha demostrado que algunos sistemas de reconocimiento facial se pueden franquear utilizando una fotografía de la cara de los usuarios registrados.
Los dispositivos en los que habría detectado esta falla son los modelos Honor 70, Motorola Razr 2022, Motorola Moto E13, Motorola H13, Motorola Moto G23, Nokia G60 5G, Nokia X30 5G, Oppo A57, Oppo A57s, Samsung Galaxy A23 5G y M53 5G y vivo Y76 5G.
También Xiaomi se habría visto afectada por este error. Concretamente, en sus terminales POCO M5, POCO M5s, POCO X5 Pro, Xiaomi 12T, Xiaomi 12T Pro, Xiaomi 12 Lite y Xiaomi 13.
Vivo, por su parte, ha asegurado a esta organización que, durante la configuración del sistema biométrico, avisa a los consumidores de que personas con las que compartan rasgos físicos pueden también desbloquear sus teléfonos.
Samsung también se habría justificado con el hecho de que proporciona varios niveles de autenticación biométrica, de modo que también se podría configurar el acceso al teléfono con un número PIN. HMD Global, matriz de Nokia, también ha asegurado a esta organización que informa a sus usuarios de que el desbloqueo facial es menos seguro que la huella digital.
Ataques a sistemas de seguridad con huella dactilar
Estas afirmaciones contrastan con otro nuevo ataque registrado por Tencent Labs y la Universidad de Zhejiang (China), llamado BrutePrint, que emplea ataques de fuerza bruta para hacerse con las huellas dactilares de los propietarios y conseguir el control de los dispositivos.
Un ataque de fuerza bruta es un intento de dar con las credenciales de acceso a una cuenta o a un dispositivo mediante el método de prueba y error, con el objetivo de dar con la combinación de factores correcta.
Los investigadores que firman este estudio publicado en Arxiv.com aseguran haber evaluado BrutePrint en 10 'smartphones' representativos de los cinco provedores de teléfonos móviles y se analizaron tres aplicaciones que integraban el bloqueo de pantalla.
Conviene recordar que Android dispone de un sistema de seguridad que, en caso de reconocer una huella dactilar errónea varias veces, insta al usuario a introducir un número PIN o contraseña para volver a intentarlo.
Para evitar esta limitación, los analistas habrían descubierto que era posible explotar dos vulnerabilidades de día cero, conocidas como Cancel After-Match-Fail (CAMF) y Match-After-Lock (MAL) en dispositivos con sistema operativo Android, HarmonyOS de Huawei, e iOS.
Los dos primeros, Android y Huawei, demostraron ser vulnerables a intentos ilimitados, mientras que los terminales fabricados con Apple permitían una decena de intentos adicionales hasta bloquearse.
"Encontramos una protección insuficiente de los datos de huellas dactilares en la interfaz periférica serial (SPI, por sus siglas en inglés) de los sensores de huellas dactilares", se puede leer en este informe.
Debido a esa desprotección, los agentes maliciosos podrían perpetrar un ataque de intermediario (MitM) para secuestrar imágenes de huellas dactilares que se pueden adquirir a partir de bases de datos y filtraciones de datos biométricos.
En el estudio apuntan que, al contrario que el cifrado de contraseñas alfanuméricas, las dactilartes utilizan un umbral de referencia en lugar de valores específicos. De modo que se puede manipular la tasa de falsa aceptación (FAR) -también conocida como tasa de falso positivo-, que se refiere a la probabilidad de que un sistema biométrico identifique de forma incorrecta a un individuo o no rechace a un impostor.
En este sentido, los investigadores indican que desde Android 6, Google obliga a trasladar toda la manipulación de datos de huellas dactilares al entorno de ejectución seguro (TEE, por sus siglas en inglés), que se utiliza para aislar el controlador del sensor de huellas dactilares en un entorno seguro.
Ahí está la diferencia entre, por un lado, iOS y, por otro, Android y HarmonyOS, ya que Apple utiliza otra solución llamada Secure Enclave con TouchID, una implementación TEE más segura que la de Android. En concreto, BrutePrint explota el fallo CAMF para invalidar los mecanismos de identificación y detener el proceso de autentificación en un punto prematuro.
De ese modo, los atacantes pueden probar infinitas combinaciones de huellas dactilares en el dispositivo, ya que sus sistemas de protección no registarían los intentos fallidos. Por otra parte, la vulnerabilidad MAL permite a los atacantes intervenir en los resultados de verificación de huellas incluso si el dispositivo está en modo de bloqueo.
Este último es el que se muestra en el dispositivo cuando el usuario ha llevado a cabo un número limitado de intentos de desbloqueo fallidos. Si bien durante el tiempo de espera que exige el móvil para volver a intentarlo este no debería aceptar intentos de desbloqueo, la falla de día cero MAL permite a los agentes maliciososo superar esta restricción.
Finalmente, BrutePrint hace uso de una técnica de transferencia de estilo neuronal (NST, por sus siglas en inglés), que modifica todas las huellas dactilares recopiladas en estos intentos para que parezcan escaneadas por el sensor de huellas dactilares del dispositivo, lo que hace que parezcan válidas y tengan posibilidades de ser aceptadas por el sistema de seguridad.
Los dispositivos ios, los más seguros
Tras llevar a cabo estas pruebas, los investigadores comprobaron que los móviles Android que utilizaron permitían infinitos intentos de huellas dactilares, lo que favorecía los mencionados ataques de fuerza bruta.
En cambio, el sistema de autentificación de móviles iOS era más robusto y, aunque los modelos de iPhone SE y iPhone 7 eran vulnerables a CAMF, su sistema de reconocimiento biométrico no admitía más de 15 intentos de acceso con huella dactilar.
Como conclusión, en el estudio se apunta que para que BrutePrint pudiese completar el ataque contra estos dispositivos, era necesario que los agentes maliciosos emplearan entre 2,9 y 13,9 horas en el caso de que su propietario hubiera registrado una huella dactilar.
En caso de haber registrado varias, los ciberdelincuentes tan solo necesitarían entre 0,66 y 2,78 horas para explotar esta vulnerabilidad, ya que aumenta la probabilidad de coincidencia de estas huellas dactilares.