Tu corazón podría sustituir a tus contraseñas

Un grupo de científicos de la Universidad de Buffalo, en Nueva York, han desarrollado un nuevo sistema de autentificación cardíaco que utiliza la forma y tamaño del corazón como único identificador biométrico.

Extraída del Proyecto 'Cardiac-Scan'

Este nuevo sistema de autentificación usa un 'Doppler' a bajo nivel para mapear de forma inalámbrica y continua las dimensiones de tu corazón latiendo. La primera vez que utilizas el escáner tarda alrededor de 8 segundos, a partir de entonces, el sistema reconoce tu corazón de manera ininterrumpida.

La forma de trabajo de este nuevo sistema es la siguiente:

•  Al llegar a tu puesto de trabajo, tu equipo detecta el latido de tu corazón y se desbloquea de manera automática sin necesidad de contraseña o alguna otra interacción.
• Al alejarte del dispositivo, el ordenador deja de detectar tu corazón latiendo y bloquea el equipo.

Los investigadores aseguran que la forma y las pulsaciones de nuestros corazones son únicas y pueden ser muy útiles para la autenticación y desbloqueo de dispositivos. De esta manera, tendríamos un sistema biométrico mucho más fiable que la huella dactilar o el escáner de iris.

En cuanto a los riesgos de salud que puede generar este dispositivo, los investigadores aseguran que es mucho menor que el de las señales Wi-Fi o cualquier otro sistema de autentificación. 

'Wenyao Xu', del Departamento de Ciencias de la computación e Ingeniería nos explica: 

"Vivimos en ambiente rodeado de señales Wi-Fi, y este nuevo sistema es tan seguro como esos dispositivos. El lector tiene una potencia de alrededor de 5 milivatios, es incluso menos del 1% de la radiación de nuestros teléfonos inteligentes.". 

A día de hoy, este sistema no es del todo práctico debido a su enorme tamaño. Los investigadores ya trabajan para conseguir unas dimensiones aplicables a las esquina de un teclado de ordenador o a los 'smartphones'.

Uno de los errores de seguridad que presenta el dispositivo es una de sus virtudes, la facilidad de desbloqueo. Cualquier persona podría usar tu ordenador desbloqueado siempre que te encuentres lo suficientemente cerca del mismo. Desde la Universidad de Buffalo ya trabajan en una solución al problema.

Tendremos que estar atentos para ver como avanza este proyecto y ver si puede llegar a ser una alternativa real a la cada vez más anticuadas contraseñas.

Daniel Púa
@arrowc0de
dpua@hispasec.com

Más información:

Documentación oficial 'Cardiac-Scan':

https://sctracy.github.io/chensong.github.io/pdf/mobicom17.pdf

Entrevista a 'Wenyao Xu':
http://www.buffalo.edu/news/releases/2017/09/034.html

El lector de huellas del iPhone 6 sigue siendo vulnerable

La historia se repite, apenas días después del lanzamiento del iPhone 6 un investigador ha vuelto a conseguir saltar el sistema Touch ID de seguridad biométrica que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras en las diferentes tiendas Apple.

El Touch ID se presento en los dispositivos iPhone 5s, un sensor de huellas dactilares montado en el interior del botón de casa del dispositivo. Una vez tomada la huella dactilar, esta se almacena en la zona segura del iPhone ("Secure Enclave") como una representación matemática a partir de la cual, según Apple, no se puede conoce la forma original de la huella. Esta representación no se almacena en ningún otro lugar ni es compartida con ninguna aplicación.

A los pocos días de la presentación del iPhone 5s fueron varios los investigadores que publicaron diferentes formas de saltar la protección. En esta ocasión Marc Rogers, jefe investigador de seguridad en Lookout Mobile Security, ha anunciado que ha sido capaz de desbloquear el iPhone 6, empleando la misma técnica (económica) que ya utilizara en 2013 para desbloquear el iPhone 5s.

"Sadly there has been little in the way of measurable improvement in the sensor between these two devices. Fake fingerprints created using my previous technique were able to readily fool both devices." ("Lamentablemente han sido pocas las mejoras apreciables en el sensor entre los dos dispositivos. Las huellas dactilares falsas creadas usando mi técnica anterior fueron capaces de engañar fácilmente ambos dispositivos.")

Según el investigador parece ser solamente se han realizado avances leves en el Touch ID, señala un aumento en la resolución de escaneo y por el escaneo de un área mucho más amplia de la huella dactilar para mejorar la fiabilidad. También indica que las mismas huellas falsas que conseguían engañar al iPhone 5s, no consiguen su objetivo en el nuevo dispositivo. Para engañar al iPhone 6 se requiere un clon de una huella digital de mucha mayor "calidad".

A pesar de todo el propio investigador señala que aunque el sensor de huellas puede ser saltado, la dificultad, habilidad, paciencia y el disponer de una buena copia digital confieren al sistema de la suficiente seguridad como para considerarlo eficaz para su propósito principal: el desbloqueo de su teléfono.

Más información:

Why I hacked TouchID (again) and still think it’s awesome

https://blog.lookout.com/blog/2014/09/23/iphone-6-touchid-hack/

Why I Hacked Apple’s TouchID, And Still Think It Is Awesome.

https://blog.lookout.com/blog/2013/09/23/why-i-hacked-apples-touchid-and-still-think-it-is-awesome/

una-al-dia (22/09/2013) El grupo Chaos Computer Club consigue saltar el sistema TouchID del iPhone 5s

http://unaaldia.hispasec.com/2013/09/el-grupo-chaos-computer-club-consigue.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

El grupo Chaos Computer Club consigue saltar el sistema TouchID del iPhone 5s

El sistema TouchID es una de las novedades del iPhone 5s, dispositivo de Apple que empezó a comercializarse el pasado día 20. Se trata de un sistema de seguridad biométrica que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras en las diferentes tiendas Apple. Apenas dos días después de su lanzamiento ya se ha descubierto una forma de saltar esta protección.

Técnicamente, se trata de un sensor de huellas dactilares con una resolución de 500 ppp montado en el interior del botón de casa del dispositivo. Una vez tomada la huella dactilar, esta se almacena en la zona segura del iPhone ("Secure Enclave") como una representación matemática a partir de la cual, según Apple, no se puede conoce la forma original de la huella. Esta representación no se almacena en ningún otro lugar ni es compartida con ninguna aplicación.

Los investigadores alemanes Chaos Computer Club, especializados en seguridad biométrica, han publicado un vídeo donde muestran como, utilizando una copia de una huella dactilar, se puede saltar la comprobación del TouchID.

Según el articulo publicado junto al vídeo, el procedimiento es sencillo y requiere materiales cotidianos. De hecho, es similar a lo que se viene haciendo hasta ahora para engañar a otros sistemas lectores de huella dactilar.

http://www.youtube.com/watch?v=HM8b8d8kSNQ

Basándonos en una fotografía de la huella, que se puede tomar de cualquier medio, se crea una inversión en blanco y negro (donde las líneas de la huella sean blancas y los espacios negros) y se imprime en papel transparente. La impresión se realiza con opciones de densidad alta para el tóner, y se le aplica encima una capa de cola o látex. Los surcos dejados por el tóner sirven de molde para crear la huella dactilar falsa, que se graba en el látex. Una vez seco, contiene una copia de la huella digital que puede ser usada para suplantar la identidad ante TouchID.

Aunque el proceso es lógico, era necesario saber si dadas las características del sistema de Apple era necesario algún procedimiento especial. Según Starbug, miembro de CCC, TouchID no se diferencia de otros sensores dactilares en más que en tener mayor resolución.

"In reality, Apple's sensor has just a higher resolution compared to the sensors so far. So we only needed to ramp up the resolution of our fake."

El hallazgo ha sido impulsado por Is TouchID Hacked Yet, una suerte de híbrido entre financiación colectiva y caza de bugs creado exclusivamente para este fin. En el sitio los usuarios han realizado una aportación a la recompensa que se llevará quien de primero una solución. Actualmente, el monto de la recompensa es de 19.526 dolares (y varias botellas de alcohol). 

http://istouchidhackedyet.com/

Durante años, el grupo CCC ha sido especialmente crítico con la seguridad biométrica, que consideran inadecuada para la autenticación del usuario frente a dispositivos. En palabras de su Portavoz, Frank Rieger:

"We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token. The public should no longer be fooled by the biometrics industry with false security claims".

El descubrimiento se produce dos días después del lanzamiento del terminal, y ya siendo conocidos otros problemas que permiten saltar el bloqueo por PIN en iOS 7, que es el usado en el terminal.

Más información:

Chaos Computer Club breaks Apple TouchID

http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid

Is TouchID Hacked Yet

http://istouchidhackedyet.com/

Francisco López

flopez@hispasec.com