Uno de los grandes anuncios nuevos con el lanzamiento del teléfono inteligente Samsung Galaxy S10 fue el nuevo escáner de huellas dactilares “en pantalla” para los modelos S10 y S10 +. No era solo la comodidad de tener el escáner incorporado en la pantalla que estaba presionando Samsung, sino la seguridad adicional que ofrece el sensor ultrasónico de huellas dactilares en lugar de un lector óptico tradicional. Una falla de seguridad en el sensor de huellas dactilares Glaxy S10 de Samsung se puede evitar simplemente teniendo la huella dactilar impresa en 3D del propietario del móvil.
El escáner ultrasónico de huellas dactilares viene con los modelos S10 y S10 +, ofrece seguridad adicional y captura una imagen en 3D cuando los escáneres de seguridad tradicionales solo capturan una en 2D.
Samsung afirma que esto no permitirá que nadie comprometa el teléfono inteligente si tienen un mapa 3D de su huella digital. Pero ahora el investigador ha demostrado que el escáner de huellas dactilares se puede engañar utilizando una huella digital impresa en 3D.
¿Cómo funciona la huella ultrasónica?
La diferencia con el escáner ultrasónico de huellas dactilares en los teléfonos inteligentes Galaxy S10 y S10 + en comparación con los escáneres capacitivos más tradicionales es que puede capturar una imagen 3D en lugar de una 2D. Mediante el uso de ondas de sonido ultrasónicas de muy alta frecuencia, el escáner puede mapear una huella digital con un detalle bastante sorprendente. Incluye cosas como crestas y poros, así como los patrones “planos” que estamos más acostumbrados a ver. Para ello, transmite un pulso de sonido ultrasónico contra su dedo y luego analiza la presión del pulso que se recupera de él.
Esto será diferente para todos, ya que cada huella digital absorberá cantidades diferentes de la presión de la onda, por falta de una forma más sencilla de describir el proceso. Y así se creará un mapa 3D único. Un mapa que captura datos de profundidad en diferentes puntos del escáner, lo que hace que el mapa resultante sea muy detallado en todas las dimensiones. Hasta ahora tan bueno. Entonces, ¿qué salió mal? Veamos cómo piratea el sensor de huellas dactilares Galaxy S10.
¿Cómo Galaxy S10 Sensor de huellas dactilares hackeado?
Un usuario, conocido por su nombre darkshark, publicó este video que explica cómo engañó al sensor de huellas dactilares del Galaxy S10 para obtener acceso al teléfono.
Tomó una fotografía de su huella dactilar del lado de una copa de vino con su teléfono inteligente. Luego usa Photoshop para eliminar las áreas y dejar solo la huella digital.
Luego, para crear un modelo 3D de la huella digital, importó la imagen al software 3DS Max para crear un modelo 3D y lo imprimió en una pieza de resina con la impresora LCD AnyCubic Photon.
Esto resultó en una pieza cuadrada de resina que contenía un modelo 3D de la huella digital que abrió con éxito el Galaxy S10 de Samsung.
Para ejecutar el ataque, todo lo que necesita es tener acceso físico al teléfono y la huella digital del propietario. El escenario de ataque plantea muchos problemas de seguridad, si alguien roba el teléfono, puede desbloquear el dispositivo ya que las huellas digitales ya están presentes.
“Como la mayoría de las aplicaciones bancarias solo requieren autenticación de huellas digitales, toda la información puede ser robada y el dinero puede gastarse en menos de 15 minutos si el teléfono está protegido solo con huellas digitales”, dice darkshark.
¿Debo dejar de usar mi huella digital?
No, eso no sería aconsejable. Siempre habrá una compensación entre la comodidad y la seguridad, por lo que la mayoría de las personas no usan un PIN o una contraseña. En general, la mayoría de los expertos en seguridad consideran que ambos métodos de autenticación son más seguros que la biométrica de huellas digitales. Pero ambos también son más complicados en términos de recordar e ingresar el código. Es por eso que muchas personas tienen sus teléfonos desbloqueados todo el tiempo, en primer lugar, no requieren tal autenticación. La biometría, como el reconocimiento facial y de huellas dactilares, supera esto al ser “lo suficientemente segura” para la mayoría de las personas, sin agregar ningún inconveniente para el usuario en la mezcla.
“Todo el movimiento de autenticación biométrica a nivel del consumidor de la electrónica nunca va a ser muy seguro” Ian Thornton-Trump, jefe de ciberseguridad de AmTrust Europa, está de acuerdo. Desde luego, siempre recomendaría un dispositivo protegido por huella digital a uno sin protección.
De hecho, incluso el mismo darkshark9 dice que el sensor ultrasónico de huellas dactilares del S10 es probablemente más seguro que los sensores ópticos o capacitivos de otros teléfonos inteligentes. Añadió que los sensores ópticos pueden ser engañados con un simple escaneo y una impresión en papel de una huella dactilar, pero el ultrasonido no puede. Cabe señalar aquí que el sensor de huellas dactilares es ciertamente más seguro que el reconocimiento facial. Porque el reconocimiento facial puede ser superado por un video del propietario ubicado frente al teléfono inteligente.
¿Cuáles son los riesgos de ser hackeado en el sensor de huellas dactilares Galaxy S10?
Bueno, eso realmente depende de quién eres, qué datos hay en tu teléfono y cuánto deseaba acceder alguien. Mientras que darkshark9 dice que “no hay nada que me impida robar sus huellas digitales sin que usted lo sepa” y además que “si robo el teléfono de alguien, sus huellas ya están en él”, la verdad es que esto requerirá una alineación perfecta de las circunstancias.
Para algunos individuos de muy alto perfil, existe, de hecho, un riesgo de tal escenario de ataque. Claro, si alguien robó su teléfono, en teoría podrían obtener acceso no solo a sus datos personales sino también a su cuenta bancaria, ya que la mayoría de ellos ahora dependen del ID de huella digital para autenticar al usuario en la aplicación. Eso es suponiendo que la persona que lo robó también tenga la impresora 3D y las habilidades técnicas para crear la huella digital de clonación, junto con el deseo de hacerlo, lo cual es una suposición bastante importante.
Amenaza a la viabilidad del sensor de huellas dactilares de Samsung
En una publicación sobre el escáner, Samsung dice que “¡Con la nueva tecnología de identificación ultrasónica de huellas dactilares, no hay concesiones! pero también menciona que no tienes que sacrificar la experiencia del usuario por seguridad “.
En contraste, Samsung también afirma en la misma publicación que utiliza “un algoritmo de aprendizaje automático para ayudar a detectar las diferencias entre las huellas digitales reales y las réplicas 3D forjadas”.
Pero el método descrito por darkshark arroja dudas sobre la viabilidad del escáner ultrasónico de huellas dactilares de Samsung como método para proteger los datos.
Esperamos que esto se solucione en futuras versiones de estos escáneres o mediante actualizaciones de software; por ahora, si su teléfono contiene datos confidenciales, probablemente debería usar una contraseña.
Si está interesado en saber más sobre la seguridad cibernética para mantener su teléfono más seguro, consulte nuestra guía al respecto.
