Acceder a la información del sensor de huellas es demasiado fácil, según FireEye Labs

http://galeriade.com/htcmania/data/media/2/650_1200_110.jpg

Leemos en xatakamovil.com
http://www.htcmania.com/images/smilies/q.gif Tan importante es la calidad de hardware como el proceso que conlleva en cuanto a software cuando hablamos de sensores, y más cuando atañe a la seguridad. Esta segunda parte es la que, según apuntan desde FireEye Labs, falla en el registro de huellas dactilares en el HTC One Max y en otros terminales al quedar esta información demasiado accesible. Según explica el equipo de FireEye en su trabajo, la información generada tras escanear la huella queda guardada en un archivo de imagen desencriptado y fácilmente leíble. La ruta del archivo es /data/dbgraw.bmp con el permiso 0666 (accesible a todo el mundo), de modo que cualquier app o usuario podría acceder tanto de manera local como remota. Se establece así una paradoja en cuanto a lo único de la huella dactilar, ya que la ventaja de que sea específica e inalterable deja obviamente sin posibilidad de modificación como sí ocurre con una contraseña en el caso de que se sospeche que ha sido averiguada. http://www.htcmania.com/images/smilies/q2.gif


leer más: xatakamovil.com (http://www.xatakamovil.com/seguridad/acceder-a-la-informacion-del-sensor-de-huellas-es-demasiado-facil-segun-fireeye-labs)

http://www.xatakamovil.com/seguridad/acceder-a-la-informacion-del-sensor-de-huellas-es-demasiado-facil-segun-fireeye-labs
http://www.xatakamovil.com/seguridad/acceder-a-la-informacion-del-sensor-de-huellas-es-demasiado-facil-segun-fireeye-labs

Parece que la única que se salva en el tema de la huella es Apple. Mira que debe ser comodísimo usar la huella en lugar de otro sistema de desbloqueo, pero es que en el móvil tenemos una cantidad de información que hace que debamos tener mucho cuidado.

Fácil o difícil, el detector de huellas es una chuminada que solo encarece el teléfono.

Fácil o difícil, el detector de huellas es una chuminada que solo encarece el teléfono.


y aquí el comentario de alguien que probablemente no ha probado un sensor de huellas como el del S6 o i6.

Ya dije yo.....

Parece que la única que se salva en el tema de la huella es Apple. Mira que debe ser comodísimo usar la huella en lugar de otro sistema de desbloqueo, pero es que en el móvil tenemos una cantidad de información que hace que debamos tener mucho cuidado.

¿Apple la única que se salva? No lo creo. Si no mal recuerdo, el "TouchID" de Apple (o como se llame) ya fue vulnerado por alguien. El desbloqueo con la huella no es tan seguro como parece. A mí no me convence, será muy cómodo y todo lo que tú quieras, pero, ¿realmente tiene el usuario control sobre la forma en que se almacenan sus huellas?, ¿sabe el usuario que sucede con esa información? Además, sabiendo que Apple forma parte del programa PRISM de la NSA , no sé yo que tan seguras estarán las huellas.

La seguridad de un teléfono es un asunto muy preocupante. Sólo hay que ver los continuos casos de espionajes de la NSA

¿Apple la única que se salva? No lo creo. Si no mal recuerdo, el "TouchID" de Apple (o como se llame) ya fue vulnerado por alguien. El desbloqueo con la huella no es tan seguro como parece. A mí no me convence, será muy cómodo y todo lo que tú quieras, pero, ¿realmente tiene el usuario control sobre la forma en que se almacenan sus huellas?, ¿sabe el usuario que sucede con esa información? Además, sabiendo que Apple forma parte del programa PRISM de la NSA , no sé yo que tan seguras estarán las huellas.

No fue vulnerado, lo que se demostró es que se podía engañar que no es lo mismo. Eso sí, a partir de una huella pristina y un escáner de alta resolución.

Si mal no recuerdo, en el iPhone no se almacenan las huellas si no un mapa con información clave de la misma. Dicha información sirve para validar la huella pero no para reconstruirla ya que en el proceso de obtención del mapa se descarta parte de la misma. Este mapa se almacena en una zona protegida del SoC a la que solo puede acceder el sensor y la info se guarda con varios niveles de encriptación.

El problema aquí es que el resto de fabricantes han implementado el sensor de huellas deprisa y corriendo para no quedar con el culo al aire.

Esto de la seguridad en el móvil, es un asunto serio, pero en este caso , creo que lo de la huella digital , lo que hace es encarecer aún más el terminal.

No fue vulnerado, lo que se demostró es que se podía engañar que no es lo mismo. Eso sí, a partir de una huella pristina y un escáner de alta resolución.

Si mal no recuerdo, en el iPhone no se almacenan las huellas si no un mapa con información clave de la misma. Dicha información sirve para validar la huella pero no para reconstruirla ya que en el proceso de obtención del mapa se descarta parte de la misma. Este mapa se almacena en una zona protegida del SoC a la que solo puede acceder el sensor y la info se guarda con varios niveles de encriptación.

El problema aquí es que el resto de fabricantes han implementado el sensor de huellas deprisa y corriendo para no quedar con el culo al aire.

Cierto es, el sistema Touch ID utiliza un sensor capacitivo, lo que significa que no obtiene una imagen óptica , sino que en su lugar realiza una lectura de las diferencias en la carga eléctrica de las crestas y valles en las capas subdermicas del dedo.

Pero fue engañado con una técnia relativamente sencilla (creo que el hombre en cuestión se llamaba Marc Rogers) en el iPhone 5s y más tarde en el iPhone 6. Obviamente, ningún sistema de seguridad será perfecto, siempre habrá alguien que será capaz de saltarselo.

Que la información de esa huella esté encriptada y sea de difícil acceso no quiere decir que esté segura ni mucho menos. Sigo diciendo lo de antes, que las demás marcas lo hayan implementado mal no quiere decir que automáticamente Apple sea la única que se salva, ¿que en un principio lo ha hecho mejor? Sí, pero eso no quiere decir que se salve. Yo, por mi parte, no voy a usar este tipo de desbloqueos.

Pero fue engañado con una técnia relativamente sencilla (creo que el hombre en cuestión se llamaba Marc Rogers) en el iPhone 5s y más tarde en el iPhone 6. Obviamente, ningún sistema de seguridad será perfecto, siempre habrá alguien que será capaz de saltarselo.

Si la técnica no tiene ciencia ninguna, el tema es obtener una huella pristina. En el primer vídeo que apareció demostrando el hackeo el fulano extraía la huella de la pantalla impoluta del iPhone. A día de hoy todavía no he visto un vídeo en el que se expusiera un caso plausible en la realidad.

Que la información de esa huella esté encriptada y sea de difícil acceso no quiere decir que esté segura ni mucho menos. Sigo diciendo lo de antes, que las demás marcas lo hayan implementado mal no quiere decir que automáticamente Apple sea la única que se salva, ¿que en un principio lo ha hecho mejor? Sí, pero eso no quiere decir que se salve. Yo, por mi parte, no voy a usar este tipo de desbloqueos.

Pero es que en realidad Apple sí es la única que se salva por lo que parece ya que, hasta dónde yo sé, nadie ha conseguido acceder a la información de la huella ni vulnerar el sistema. Esto es como la justicia, el cargo de la prueba recae sobre el que acusa.


Lo triste del asunto es que la implementación que ha hecho Apple es perfectamente replicable por otros fabricantes.

Lo triste del asunto es que la implementación que ha hecho Apple es perfectamente replicable por otros fabricantes.

Apple lo tendrá patentado supongo.