Consiguen ��hackear�� el sensor de huella dactilar en los Android

Dos investigadores consiguen adentrarse en informaci��n de los m��viles; el fallo permite hacer compras a cargo del propietario del tel��fono

Las Vegas - 10 ago 2015 - 23:29CEST

El sensor de huella dactilar de Apple ha sido imitado en otros muchos dispositivos.apple

Apple fue la primera en incorporar sensores de huellas dactilares en los m��viles para hacerlos m��s seguros, como gran innovaci��n de iPhone 5S. El dispositivo permit��a desbloquear la pantalla, pagar las aplicaciones o servicios online con tan solo posar el dedo en el bot��n principal. Muchos vieron en la innovaci��n el principio del fin de las contrase?as.

M��s informaci��n

As�� de f��cil es ��hackear�� tu m��vil

As�� de f��cil es 'hackear' tu webcam

As�� pueden ��hackearte�� cualquier aparato conectado a Internet

Samsung sigui�� la estela de la empresa de la manzana y, desde entonces, los Galaxy han incluido esta opci��n como medida estrella de seguridad. Hasta ahora. Yulong Zhang y Tao Wei, dos investigadores de la empresa FireEye, han demostrado durante el encuentro?Defcon, en Las Vegas,?que?el patr��n biom��trico que serv��a para hacer m��s seguros los m��viles con Android ha terminado por convertirse en un foco de vulnerabilidades. La conferencia, que ha llegado a su edici��n 24.?

Los modelos utilizados para alertar del error han sido un HTC One Max y un Samsung Galaxy S5. La f��rmula para hacerse con el control del m��vil consisti�� en tomar im��genes de las huellas dactilares. El terminal no guarda por completo la informaci��n de la huella, sino que queda en una especie de limbo al que los hackers han podido acceder. Seg��n Wei, una vez que se obtiene ese patr��n es muy sencillo usarlo para acceder a cualquier otro dispositivo y suplantar al due?o del m��vil para acceder a su cuenta bancaria o aplicaciones como Dropbox, que ya aceptan esta f��rmula. Lo mismo sucede con las tiendas online, como el caso de Amazon. Una vez que se ha robado la huella se puede usar para hacer compras a cargo de la v��ctima.

El patr��n biom��trico que ser��a para hacer m��s seguros los m��viles con Android ha terminado por convertirse en un foco de vulnerabilidades

Zhang ha destacado que Apple s�� ha hecho un buen trabajo en este aspecto con el sensor TouchID. En el caso de esta empresa, la informaci��n se encripta tanto en iPad como iPhone de modo que si alguien consiguiera la informaci��n no podr��a descifrarla y hacer uso de ella.

El mayor riesgo derivado del fallo de los Android puede llegar si se combina con una aplicaci��n camuflada que reutilice la informaci��n envi��ndola a terceros, y que estos la usen para robar. Otro error del que alertan en estos sensores apunta al uso de ingenier��a inversa para usar el controlador del lector para que capture la huella sin que lo desee el propietario. Este m��todo no solo afecta a los m��viles de Samsung, tambi��n a HTC y Huawei. Aunque todav��a son pocos los modelos que ofrecen esta opci��n ��casi todos de alta gama��, las previsiones de la industria apuntan a que en 2019 lo incluir�� m��s de la mitad de los m��viles.

La extracci��n del patr��n de huella digital en una diapositiva de la presentaci��n en el congreso de Las Vegas.rjc

��En estos ataques, los datos de las v��ctimas caen directamente en manos de los atacantes, de por vida, para siempre. Pueden usar las huellas dactilares para cualquier fin��, apunta Zhang. M��s all�� del mundo digital, las huellas se siguen usando para identificar personas en pasaportes, registros criminales y de aduanas. Ambos investigadores apuntan a que este modelo se puede extrapolar a los sensores de algunos ordenadores de alta gama.

A diferencia de su hermana Blackhat, que se desarrolla durante la semana, en Defcon el ambiente es mucho m��s informal. Mientras que en la primera la entrada cuesta 1.800 d��lares (1.637 euros), en defcon el precio es de 230 d��lares (209 euros) y no se pide identificaci��n alguna. Las acreditaciones carecen de nombre. Durante el fin de semana, los pasillos de los hoteles Paris y Bally's pasan a ser callejones donde hackers demuestran sus habilidades. Muchos, por mostrar su pericia; otros, para hacerse con un empleo. Twitter, Facebook y Microsoft son algunas de las empresas que pescan entre los m��s de 10.000 asistentes que ha reconocido la cr��ptica organizaci��n. Entre los consejos a quienes asisten ��dados por ellos mismos�� est�� el de dejar el m��vil en modo avi��n. O, mejor a��n, directamente no encenderlo. Cualquiera puede ser v��ctima.

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.