{"id":28907,"date":"2023-06-13T16:13:22","date_gmt":"2023-06-13T14:13:22","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28907"},"modified":"2023-06-13T19:03:01","modified_gmt":"2023-06-13T17:03:01","slug":"fingerprint-brute-force-android","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/fingerprint-brute-force-android\/28907\/","title":{"rendered":"BrutePrint: saltarse la protecci\u00f3n de huellas dactilares de los smartphones"},"content":{"rendered":"

Se cree que el reconocimiento de huellas dactilares es un m\u00e9todo de autenticaci\u00f3n bastante seguro. De vez en cuando aparecen publicaciones sobre diferentes formas de enga\u00f1ar al sensor de huellas dactilares<\/a>, pero todos los m\u00e9todos sugeridos, en una forma u otra, se reducen a la imitaci\u00f3n f\u00edsica del dedo de la persona propietaria del tel\u00e9fono, ya sea usando una almohadilla de silicona o una impresi\u00f3n de tinta conductora<\/a>. Esto implica obtener una imagen de alta calidad de un dedo, y no cualquier dedo, sino el registrado en el sistema.<\/p>\n

En pocas palabras, todos estos m\u00e9todos provocan muchos problemas en la vida real. Pero, \u00bfexiste alguna manera m\u00e1s elegante de hacerlo, sin salir del mundo puramente digital y sin renunciar a todos sus beneficios? Pues resulta que la hay: los investigadores chinos Yu Chen y Yiling He publicaron recientemente un estudio sobre c\u00f3mo forzar casi cualquier tel\u00e9fono inteligente Android protegido mediante huella dactilar. A este ataque le llamaron BrutePrint<\/a>.<\/p>\n

\u00bfC\u00f3mo de \u00fanicas son las huellas dactilares?<\/h2>\n

Antes de investigar el trabajo de nuestros camaradas chinos, vamos a repasar brevemente un poco de teor\u00eda\u2026 Para empezar, y es posible que ya lo sepas, las huellas dactilares son realmente \u00fanicas y no se alteran con el tiempo.<\/p>\n

No obstante, all\u00e1 por 1892, el cient\u00edfico ingl\u00e9s Sir Francis Galton public\u00f3 un trabajo que, de forma lac\u00f3nica, titul\u00f3 Huellas dactilares<\/a>. En \u00e9l, resumi\u00f3 la informaci\u00f3n cient\u00edfica actual sobre huellas dactilares, y su trabajo sent\u00f3 las bases te\u00f3ricas para un mayor uso pr\u00e1ctico de las huellas dactilares en la medicina forense.<\/p>\n

Entre otras cosas, Sir Francis Galton calcul\u00f3 que la probabilidad de coincidencia de huellas dactilares era \u201cmenos de 236<\/sup>, o una entre sesenta y cuatro mil millones\u201d. Los expertos forenses han mantenido este valor incluso hasta el d\u00eda de hoy.<\/p>\n

Por cierto, si te gusta la anatom\u00eda extrema o los factores biol\u00f3gicos detr\u00e1s de la singularidad de las huellas dactilares, aqu\u00ed tienes un nuevo trabajo de investigaci\u00f3n<\/a> sobre el tema.<\/p>\n

\u00bfHasta qu\u00e9 punto son fiables los sensores de huellas dactilares?<\/h2>\n

El trabajo de Sir Francis y todo lo que surgi\u00f3 de \u00e9l, sin embargo, est\u00e1 relacionado con el (c\u00e1lido) mundo anal\u00f3gico, y cubre cosas como la toma de huellas dactilares y su cotejo con las que quedaron en la escena del crimen, por ejemplo, y chimp\u00fan. Pero las cosas suceden de forma distinta en la (fr\u00eda) realidad digital. La calidad de la representaci\u00f3n de la huella dactilar depende de m\u00faltiples factores: el tipo de sensor, su tama\u00f1o y resoluci\u00f3n y, en gran medida, los algoritmos de comparaci\u00f3n y posprocesamiento de la \u201cimagen\u201d.<\/p>\n

\"Comparar<\/a>

Unas huellas dactilares tal como las vio Sir Francis Galton hace 150 a\u00f1os (izquierda) y el sensor \u00f3ptico de tu tel\u00e9fono inteligente de \u00faltima generaci\u00f3n (derecha). Fuente<\/a> y Fuente<\/a>.<\/p><\/div>\n

Por supuesto, el desarrollador necesita que el dispositivo sea muy barato (o nadie lo comprar\u00eda), lograr que la autenticaci\u00f3n se realice en una fracci\u00f3n de segundo (o se ver\u00eda abrumado por las quejas sobre la lentitud) y evitar los falsos negativos a toda costa (o el usuario se dar\u00eda por vencido). El resultado son sistemas de autenticaci\u00f3n no muy precisos.<\/p>\n

Entonces, cuando se hace referencia a los sensores utilizados en los tel\u00e9fonos inteligentes, se citan cifras para la probabilidad de coincidencia de fragmentos de huellas dactilares mucho menos optimistas que el famoso 1 entre 64 mil millones. Por ejemplo, Apple estima que la probabilidad de Touch ID<\/a> es de 1 entre 50\u00a0000. Por lo tanto, se puede suponer que para los modelos de sensor econ\u00f3micos, la probabilidad se reducir\u00e1 a\u00fan m\u00e1s en una magnitud o dos.<\/p>\n

Esto nos lleva de miles de millones a miles, lo cual ya est\u00e1 al alcance de un ataque de fuerza bruta<\/a>. Entonces, el hacker potencial est\u00e1 a solo un obst\u00e1culo del premio: el l\u00edmite en el n\u00famero de intentos de reconocimiento mediante huella dactilar. Normalmente, solo se permiten cinco de ellos, seguidos de un per\u00edodo prolongado de bloqueo de autenticaci\u00f3n.<\/p>\n

\u00bfSe puede superar este obst\u00e1culo? Yu Chen y Yiling He dan una respuesta afirmativa a ello en su estudio.<\/p>\n

BrutePrint: prepararse para usar la fuerza bruta en tel\u00e9fonos inteligentes Android protegidos mediante huella dactilar<\/h2>\n

Este m\u00e9todo del investigador se basa en un fallo en la implementaci\u00f3n gen\u00e9rica del sensor de huella dactilar de los tel\u00e9fonos inteligentes Android: ninguno de los modelos probados encriptaba el canal de comunicaci\u00f3n entre el sensor y el sistema. Esto abre la oportunidad de un ataque MITM<\/a> en el sistema de autenticaci\u00f3n: mediante un dispositivo conectado al tel\u00e9fono inteligente a trav\u00e9s del puerto SPI de la placa base, uno puede interceptar los mensajes entrantes del sensor de huella dactilar y enviar sus propios mensajes emulando el sensor de huella dactilar.<\/p>\n

Los investigadores construyeron un dispositivo de este tipo (pseudosensor) y lo complementaron con un dispositivo para hacer clic autom\u00e1ticamente en la pantalla del sensor del tel\u00e9fono inteligente. Por lo tanto, la parte del componente de hardware se configur\u00f3 para enviar m\u00faltiples im\u00e1genes de huellas dactilares a los tel\u00e9fonos inteligentes en modo autom\u00e1tico.<\/p>\n

\"Dispositivo<\/a>

Dispositivo para realizar el ataque de fuerza bruta del sistema de autenticaci\u00f3n de huella dactilar. Fuente. <\/a><\/p><\/div>\n

A partir de ah\u00ed, procedieron a preparar muestras de huellas dactilares para el ataque de fuerza bruta. Los investigadores no revelan la fuente de su base de datos de huellas dactilares, solo se limitan a la especulaci\u00f3n general sobre c\u00f3mo los atacantes podr\u00edan obtenerla (colecciones de investigaci\u00f3n, datos filtrados, base de datos propia).<\/p>\n

Como siguiente paso, la base de datos de huellas dactilares se envi\u00f3 a una IA para generar una especie de diccionario de huellas dactilares para maximizar el rendimiento del ataque de fuerza bruta. La IA adapt\u00f3 las im\u00e1genes de huellas dactilares para que coincidieran con las generadas por los sensores instalados en los tel\u00e9fonos inteligentes que participaron en el estudio.<\/p>\n

\"Ejemplos<\/a>

Las im\u00e1genes devueltas por diferentes tipos de sensores de huella dactilar son bastante diferentes entre s\u00ed. Fuente<\/a>.<\/p><\/div>\n

Las dos vulnerabilidades de las que se aprovecha BrutePrint: Cancel-After-Match-Fail y Match-After-Lock<\/h2>\n

El ataque BrutePrint explota dos vulnerabilidades. Los investigadores las descubrieron en la l\u00f3gica b\u00e1sica del marco de autenticaci\u00f3n de huellas dactilares que, por su apariencia, est\u00e1 integrado en todos los tel\u00e9fonos inteligentes Android sin excepci\u00f3n. Estas vulnerabilidades se denominaron Cancel-After-Match-Fail y Match-After-Lock.<\/p>\n

La vulnerabilidad Cancel-After-Match-Fail<\/h3>\n

Cancel-After-Match-Fail (CAMF)<\/strong> explota dos caracter\u00edsticas importantes del mecanismo de autenticaci\u00f3n mediante huella dactilar. La primera es el hecho de que se basa en el muestreo m\u00faltiple, lo que significa que cada intento de autenticaci\u00f3n utiliza no solo una, sino una serie de dos a cuatro im\u00e1genes de huellas dactilares (seg\u00fan el modelo de tel\u00e9fono inteligente). El segundo es el hecho de que, adem\u00e1s de fallar<\/em>, un intento de autenticaci\u00f3n tambi\u00e9n puede dar como resultado un error<\/em>, y en este caso, se vuelve al principio.<\/p>\n

Esto permite enviar una serie de im\u00e1genes que terminan en un marco preeditado para desencadenar un error. Por lo tanto, si una de las im\u00e1genes de la serie genera una coincidencia, la autenticaci\u00f3n se llevar\u00e1 a cabo correctamente. De lo contrario, el ciclo terminar\u00e1 con un error, despu\u00e9s del cual se podr\u00e1 enviar una nueva serie de im\u00e1genes sin desperdiciar el preciado intento.<\/p>\n

\"Diagrama<\/a>

C\u00f3mo funciona Cancel-After-Match-Fail: el error lo lleva de vuelta al punto de partida sin desperdiciar un intento. Fuente.\u00a0<\/a><\/p><\/div>\n

La vulnerabilidad Match-After-Lock<\/h3>\n

La segunda vulnerabilidad es Match-After-Lock (MAL)<\/strong>. La l\u00f3gica de la autenticaci\u00f3n mediante huella dactilar proporciona un per\u00edodo de bloqueo despu\u00e9s de un intento fallido, pero muchos proveedores de tel\u00e9fonos inteligentes no implementan esta funci\u00f3n correctamente en sus versiones de Android. Entonces, aunque una autenticaci\u00f3n mediante huella dactilar exitosa no es posible en el modo de bloqueo, a\u00fan se pueden enviar m\u00e1s y m\u00e1s im\u00e1genes nuevas, a las que el sistema responder\u00e1 con una respuesta honesta de \u201cverdadero\u201d o \u201cfalso\u201d. Es decir, una vez que se detecta la imagen correcta, puede usarse tan pronto como el sistema est\u00e9 fuera de bloqueo, completando as\u00ed una autenticaci\u00f3n exitosa.<\/p>\n

Ataques que explotan Cancel-After-Match-Fail y Match-After-Lock<\/h2>\n

El ataque que explotaba la primera vulnerabilidad tuvo \u00e9xito en todos los tel\u00e9fonos inteligentes probados con Android original, pero, por alguna raz\u00f3n, no funcion\u00f3 con HarmonyOS.<\/a> Match-After-Lock fue explotado en los tel\u00e9fonos inteligentes Vivo y Xiaomi, as\u00ed como en ambos tel\u00e9fonos Huawei con HarmonyOS.<\/p>\n

\"Tabla<\/a>

Todos los tel\u00e9fonos inteligentes probados resultaron ser vulnerables al menos a un ataque. Fuente.<\/a><\/p><\/div>\n

Se descubri\u00f3 que todos los tel\u00e9fonos inteligentes Android y HarmonyOS que participaron en el estudio eran vulnerables al menos a uno de los ataques descritos. Esto significa que todos ellos permitieron un n\u00famero indefinido de intentos maliciosos de autenticaci\u00f3n mediante huella dactilar.<\/p>\n

Seg\u00fan el estudio, se tardaron de 2,9 a 13,9 horas en piratear un sistema de autenticaci\u00f3n de un tel\u00e9fono inteligente Android con solo una huella dactilar registrada. Pero para los tel\u00e9fonos inteligentes con el m\u00e1ximo n\u00famero posible de huellas dactilares registradas para un modelo determinado (cuatro para Samsung y cinco para todos los dem\u00e1s), el tiempo se redujo considerablemente: piratearlos tard\u00f3 de 0,66 a 2,78 horas.<\/p>\n

\"Tiempo<\/a>

Probabilidad de \u00e9xito de un ataque BrutePrint en funci\u00f3n del tiempo empleado: una huella registrada (l\u00ednea continua) y n\u00famero m\u00e1ximo de huellas registradas (l\u00ednea discontinua). Fuente<\/a>.<\/p><\/div>\n

\u00bfQu\u00e9 pasa con los iPhone?<\/h2>\n

El sistema Touch ID utilizado en los iPhone result\u00f3 ser m\u00e1s resistente a BrutePrint. Seg\u00fan el estudio, la principal ventaja del iPhone es que la comunicaci\u00f3n entre el sensor de huella dactilar y el resto del sistema est\u00e1 encriptada. Por lo tanto, no hay forma de interceptar o alimentar al sistema con una huella dactilar preparada en un dispositivo equipado con Touch ID.<\/p>\n

El estudio se\u00f1ala que los iPhones pueden ser parcialmente vulnerables a las manipulaciones utilizadas para maximizar el n\u00famero de posibles intentos de reconocimiento mediante huella dactilar. Sin embargo, no es tan malo como puede parecer: mientras que los smartphones con Android permiten un hackeo indefinido, en los iPhone el n\u00famero de intentos solo se puede aumentar de 5 a 15.<\/p>\n

De esta forma, los usuarios de iOS pueden dormir tranquilos: Touch ID es mucho m\u00e1s fiable que la autenticaci\u00f3n mediante huella dactilar que se usa tanto en Android como en HarmonyOS. Adem\u00e1s, hoy en d\u00eda la mayor\u00eda de los modelos de iPhone usan Face ID.<\/p>\n

\u00bfQu\u00e9 peligro tiene todo esto?<\/h2>\n

Los propietarios de smartphones Android tampoco deber\u00edan preocuparse demasiado por BrutePrint: en la pr\u00e1ctica, el ataque no representa una amenaza importante. Esto se debe a varios motivos:<\/p>\n