¿Seguridad del sistema de pago basado en huellas dactilares de Indian AadhaarPay?

Navega tus respuestas
4

India lanzó recientemente un sistema de pago donde los comerciantes instalan una aplicación en un teléfono Android y lo conectan con un lector de huellas digitales.

Los clientes proporcionan su número de Aadhaar (como un número de identidad nacional) y escanean su dedo para autorizar transacciones que debitan dinero de su cuenta.

¿Es este un sistema relativamente seguro, comparado con las tarjetas de chip y PIN?

Creo que sería posible capturar las huellas dactilares de los usuarios usando algo para interceptar la comunicación entre el lector de huellas dactilares y el teléfono, y luego reproducir la huella dactilar registrada junto con el número de Aadhaar (que puede capturarse con un keylogger o incluso memorizarse por el comerciante).

¿Está justificado este miedo?

    
pregunta Jedi 30.12.2016 - 14:12
fuente

2 respuestas

1

Tuve exactamente la misma duda hace unos días. Pero no es posible hackearlo de la manera que has descrito. Dado que los datos biométricos están encriptados, un ataque de hombre en el medio no es prácticamente posible.

Pero el problema es con escáneres biométricos manipulados. Los escáneres de huellas dactilares de Aadhaar cifran los datos de las huellas dactilares antes de enviarlos o incluso procesarlos. Lo que se puede hacer es tener un escáner diseñado que no encripte los datos de forma predeterminada. Así se puede almacenar de los datos.

Depende del dispositivo que se conecta a la API de Aadhaar para verificar la validez de la huella dactilar (mediante la verificación de la temperatura de los dedos, el contorno, etc. para evitar el enmascaramiento con impresiones falsas). Por lo tanto, si se manipula el dispositivo de POS, puede enviar tantas transacciones como desee con los datos de huellas dactilares guardados.

    
respondido por el Zend Mastiff 02.01.2017 - 18:53
fuente
0

"¿Es este un sistema relativamente seguro, en comparación con las tarjetas de chip y PIN?"

Técnicamente, no. Me refiero a que ambos sistemas son métodos de autenticación de dos factores

Una tarjeta PIN utilizada: algo que tienes y algo que sabes

Usos de autenticación biométrica: alguien que eres y algo que tienes

Por lo tanto, el nuevo método solo garantiza que en realidad eres USTED quien realizó el pago.

Entonces, aunque técnicamente, solo hay 2 capas de seguridad, el nuevo método solo garantiza que "físicamente", el cliente estaba realmente presente en el momento de la compra ...

Y sí, tu miedo está casi justificado ... ¿Por qué?

  1. Incluso si las aplicaciones de los usuarios no son maliciosas, a veces requieren permisos especiales para acceder a los recursos del dispositivo (por ejemplo: acceso a la capacidad de ubicación del teléfono) ... Entonces, sí, una aplicación (maliciosa o no) puede capturar el tráfico y reproducirlo a libre albedrío ...

  2. Casi sí porque el lector puede tener un sensor para detectar un dedo ... si no se pasa la "prueba del sensor", entonces no se permitirá ninguna acción que vaya o vaya al teléfono.

respondido por el Jason Krs 30.12.2016 - 16:59
fuente

Lea otras preguntas en las etiquetas

Descripción de la prevención, detección y protección Cómo prevenir la redirección de ICMP producida por un hombre en el medio