Hace unos días advertimos de la vulnerabilidad Stagefright, que ponía en peligro el 95% de los dispositivos Android. Ahora se trata de los lectores de huellas dactilares incluidos en algunos modelos de estos móviles.
Los investigadores de la empresa de seguridad FireEye, Tao Wei y Yulong Zhang, develaron estos fallos en su presentación Fingerprints on Mobile Devices: Abusing and Leakingdes durante la conferencia Black Hat en Las Vegas. Para su investigación los trabajadores tomaron los modelos Samsung Galaxy S5 y HTC One Max. Sin embargo, se trataría de un problema compartido por el resto de teléfonos Android.
El problema está en que los posibles atacantes podrían robar masivamente huellas dactilares. Obteniendo, además, una imagen en alta definición. Para empeorar las cosas, el sensor en algunos dispositivos sólo está controlado por «system» en vez de «root», haciendo más fácil el ataque. En otras palabras: el rooting o jailbreaking del teléfono puede exponer a un mayor riesgo el dispositivo. Una vez logrado el ataque, el sensor puede seguir recoger datos de las huellas dactilares de cualquier persona que utilice el sensor.
«En este ataque, los datos de las huellas dactilares de las víctimas caen en manos del atacante y este podrá utilizarlas el resto de su vida» dijo Zhang. Este es un gran problema porque las huellas dactilares son moneda corriente en los pagos a través de dispositivos móviles y se utilizan para probar identidad, en inmigración y para antecedentes penales.
Los proveedores afectados ya han proporcionado los parches después de ser alertados por los investigadores pero deberán ser distribuidos a los clientes, un proceso que mediante OTA suele llevar bastante tiempo.
Los investigadores señalaron que el iPhone de Apple, que fue pionero en el sensor de huella digital moderno, es «absolutamente seguro» al menos a este ataque porque cifra los datos de la huella digital del escáner. Incluso si el atacante puede leer directamente el sensor, sin obtener la clave de cifrado, no podría obtener la imagen de la huella digital.
El problema no se limita a dispositivos móviles. Los investigadores advirtieron que muchos de los ataques también se aplican a los ordenadores portátiles de gama alta con sensores de huellas digitales.
Una estimación, de la que se hace eco ZDNet, calcula que para 2019 la mitad de los dispositivos incorporarán huellas entre sus funcionalidades.