¿Podría ser posible secuestrar huellas dactilares físicas en forma digital y usarlas para obtener acceso a otros dispositivos y ubicaciones?

4

Si cada vez más dispositivos aceptan huellas dactilares en lugar de contraseñas, ¿podría ser posible "registrar" estas huellas dactilares en dispositivos móviles, por ejemplo, instalando una aplicación fraudulenta y luego reproduciéndola digital o físicamente en ¿Términos de impresión 3D para acceder a otros dispositivos o ubicaciones?

Una cosa en la que también estaba pensando es qué pasa si alguien desarrolla una aplicación (legítima) y le pide que use su huella digital. Desde allí, podrían reconstruirlo técnicamente y usarlo en su contra o incluso venderlo y asociarlo a su identidad.

    
pregunta Jason 18.01.2017 - 02:13
fuente

4 respuestas

4

Aquí hay una sección relevante del documento "Seguridad de iOS" de Apple:

  

El sensor de huella digital está activo solo cuando el anillo de acero capacitivo   que rodea el botón Inicio detecta el toque de un dedo, que   activa la matriz de imágenes avanzada para escanear el dedo y enviar el   Escanear al enclave seguro.

     

El escaneo ráster se almacena temporalmente en la memoria cifrada dentro de la   Asegure Enclave mientras se vectoriza para el análisis, y luego es   descartado. El análisis utiliza un mapeo del ángulo de flujo de la cresta subdérmica, que es un proceso con pérdida que descarta los datos minuciosos que serían necesarios para reconstruir la huella digital real del usuario. El mapa de nodos resultante se almacena sin ninguna información de identidad en un formato cifrado que solo puede ser leído por el Enclave seguro, y nunca se envía a Apple ni se realiza una copia de seguridad en iCloud o iTunes.

Para mí, esto implica que la huella digital nunca pasa realmente a través de la memoria estándar de iOS, sino directamente al enclave seguro. Una vez que está en el enclave seguro, se transforma de tal manera que la huella digital no se puede reconstruir. Por lo tanto, en los dispositivos Apple, esto no parece ser posible incluso en dispositivos con jailbreak, excepto tal vez en el caso de un ataque al hardware físico.

Otros dispositivos como Android son diferentes. Creo que Google tiene pautas de diseño similares a las de Apple, pero los fabricantes no necesitan seguirlo exactamente. Estoy bastante seguro de que algunos de los primeros dispositivos Android simplemente cifraron datos de huellas dactilares en el almacenamiento estándar, pero buscaré una referencia, ya que podría estar equivocado.

Editar:

  1. enlace
  2. enlace
respondido por el Steve 18.01.2017 - 05:19
fuente
2

No hay razón para que esto no sea posible, tanto a nivel digital como físico. Por lo general, los teléfonos no hacen que los datos de huellas dactilares estén disponibles para otras aplicaciones, a menos que sea un teléfono con jailbreak con una aplicación de colorete que robe estos datos.

En el nivel físico, no solo es posible sino que se ha hecho en el pasado. Consulte: enlace

    
respondido por el CodeExpress 18.01.2017 - 04:42
fuente
1

Probablemente sí, pero ...

¿A alguien le importa?

Posible o no, su dedo se está utilizando como contraseña. Tanto su entrada de texto como su dedo se están convirtiendo en información digital que, en algún momento, se validará de una forma u otra. Muchos dispositivos se ven comprometidos sin que el hacker obtenga acceso a ninguna contraseña. Los piratas informáticos obtienen acceso a su sistema operativo a través de vulnerabilidades que engañan al dispositivo para que les otorgue privilegios que no deberían tener. No hay proceso de autenticación involucrado.

Tecnología & cambios de datos

La cadena "Password123" siempre será tratada de la misma manera en su dispositivo. Los escáneres de huellas dactilares u otros sensores biométricos, por otro lado, probablemente mejorarán su resolución y efectividad a lo largo de los años, convirtiendo así su huella dactilar en un conjunto de datos completamente diferente. El conjunto de datos en rojo de ese sensor anterior no sería de mucha utilidad en ese momento.

No veo que esto se convierta en un problema de seguridad importante.

    
respondido por el r41n 18.01.2017 - 16:13
fuente
1

Ni siquiera necesita ese acceso directo a la huella digital; un investigador ha reproducido una huella digital de un político basada en fotos de eventos de prensa . Así que sí, absolutamente.

    
respondido por el Xiong Chiamiov 18.01.2017 - 17:33
fuente

Lea otras preguntas en las etiquetas