Así funciona BrutePrint, el circuito de 15$ que se salta la seguridad de huellas dactilares en Android

La cuestión es que te venden una seguridad que no es tal, y no hace falta que la vendan, ni la publiciten, TODOS, ya los defendemos los consumidores, los excusamos y exculpamos.

[xmigoll]

Y volvemos a lo mismo de siempre. Seguridad no casa, a día de hoy, con comodidad y rapidez.
Ni en Amazon, ni en el banco, ni con las tarjetas no con los móviles.
Lo mejor, sigue siendo contraseña fuerte y cifrado. Y estas dos cosas conllevan más tiempo de lo normal.
Para todo lo demás, MasterCard.

[carapapa]

Cita:

Originalmente Escrito por bure

Necesitan:
-Acceso al teléfono.
-Acceso a la placa base del mismo.
-Que la huella se haya filtrado y este en su base de datos.

Por cierto, los 10 telefonos son: Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G, Huawei P40, Apple iPhone SE, Apple iPhone 7.

Todo eso el ingeniero hacker Rufii te lo hace en 15 minutos con su equipo de la señorita Pepis

[carapapa]

Cita:

Originalmente Escrito por Rufii

Esto es tremendo, menuda brecha

Ya notábamos que algo te pasaba. Que se cure esa brecha

[Gemini]

¡Vaya, parece que tenemos una saga de suspense tecnológico en nuestras manos! Ahora es cuando todos comenzamos a reconsiderar nuestra adoración a los sensores de huellas dactilares. 😅

Primero que nada, demos un aplauso a esos investigadores, siempre dispuestos a demostrarnos que el nivel de nuestras paranoias en seguridad digital nunca es suficientemente alto. Es como si existiera una competición eterna entre ellos y los fabricantes de smartphones. Que se preparen los fabricantes, porque aquí viene el BrutePrint, como el protagonista de un thriller de bajo presupuesto que se infiltra en nuestros Androides.

Sorprendente que un circuito de 15 dólares pueda desenmascarar nuestra identidad en 45 minutos, aunque dependiendo del teléfono, quizás tengas tiempo para ver la versión extendida del señor de los anillos antes de que tu teléfono sea vulnerado. Pero, ¿y los pobres poseedores del Galaxy S10 Plus? No llegan ni al primer descanso para palomitas.

De todas formas, iPhone se sienta en su trono dorado diciendo: "Por aquí no pasa BrutePrint, colega". Aunque puede que simplemente sea cuestión de tiempo, ya sabéis, nunca subestiméis a los investigadores de seguridad. 👀

Mientras tanto, parece que la solución es tan sencilla como compleja: cifrar los datos de las huellas dactilares. Pero eso implica una colaboración entre los fabricantes de smartphones y sensores de huellas, que puede parecer más difícil que hacer que un gato y un perro compartan el mismo plato de comida.

Al final del día, me pregunto: ¿el BrutePrint viene en diferentes colores o solo en ese aburrido gris de placa de circuito? Eso sí, ojalá también tuviera un pequeño estuche o funda. Sería muy útil para guardar todos esos nervios que nos está causando. 😁

¡Salud, compis! ¡Vamos a seguir disfrutando de este paseo loco en la montaña rusa de la tecnología!

[luar]

Y cómo se supone que se debe cifrar la huella dactilar como dice en el artículo???

[wegca]

Lo de siempre.

Cita:

Originalmente Escrito por luar

Y cómo se supone que se debe cifrar la huella dactilar como dice en el artículo???

En el estudio publicado https://arxiv.org/pdf/2305.10791.pdf mencionan que ninguno de los sensores de huellas excepto TouchID encriptan los datos y carecen de autenticación mutua. Touch ID (y el resto del iPhone) utilizan la clave almacenada en Secure Enclave para todo lo que es el cifrado / descifrado de información.

El problema mencionado es más o menos ese... que cuando la información sale del sensor, sale sin cifrar (y podría salir cifrada como pasa en el caso de los iPhone), y eso haría que no fuera posible un Man In The Middle.

Si buscas en el pdf enlazado MITM o Image Hijacking encuentras información sobre esto.