Ha dado comienzo la conferencia Black Hat de seguridad, y en los próximos días se irán conociendo nuevos informes sobre vulnerabilidades de todo tipo y de todos los sistemas operativos. Los investigadores de FireEye han presentado cuatro nuevas formas de extraer la información de las huellas dactilares de los dispositivos Android.
En este caso, iOS quedaría exento del problema, y afectaría a los lectores de huellas utilizados en Android, como los de Samsung, Huawei y HTC. Uno de los ataques permite incluso obtener las huellas dactilares de manera remota, y afectaría a terminales como el HTC One Max y el Samsung Galaxy S5 ya que los fabricantes no bloquean totalmente el acceso al sensor.
Lectores de fácil acceso
En iOS, ni siquiera el propio sistema operativo tiene acceso a las huellas leídas por el lector, ya que se envían de manera encriptada directamente al elemento seguro del procesador que sólo tienen los iPhone que incluyan Touch ID. En Android, además de que esa información sí que es accesible por el sistema operativo, no se necesita ni siquiera privilegios de administrador o root. Por eso las huellas que leen los lectores en Android pueden caer fácilmente en las manos de los hackers.
Afortunadamente, los investigadores de FireEye avisaron con tiempo a las compañías para que parchearan algunos de los fallos de seguridad presentados. Aun así, es un serio problema de seguridad la forma en que por ahora Android gestiona la lectura de datos biométricos, o más bien que en realidad no tiene ningún elemento seguro donde almacenarlas.
FireEye no ha valorado qué lector de huellas es más seguro dentro del ecosistema Android, calificando a Touch ID como "bastante seguro". Android M incluye una librería nativa de gestión de lectores de huellas, al que seguro comenzarán a probar estos investigadores en cuanto salga un terminal que la use.
Vía: SlashGear.