Por qué hackeé Touch ID y sigo pensando que es buenísimo, por Marc Rogers

El 22 de Septiembre daba la vuelta al mundo la noticia de que la gran novedad en seguridad del iPhone 5S de Apple, llamada Touch ID, había sido sorteada ¡48 horas después de presentarse!

Marc Rogers experto en seguridad en la empresa Lookout replicó el sistema para comprobar su veracidad, y aún así, sigue ensalzando TouchID como un gran avance. Esto es lo que escribió:

A estas alturas todo el mundo lo sabe: TouchID ha sido hackeada. En realidad, nadie esperaba que fuera diferente. La biométrica de huellas dactilares utilizan una credencial de seguidad que se va repartiendo en todo aquello que tocamos.

El hecho de que puedan obtenerse las huellas personales no tiene debate; los técnicos del CSI llevan haciéndolo décadas. La gran pregunta con TouchID era si Apple podría o no implementar un diseño que pudiera resistir ataques usando huellas dactilares obtenidas de alguna superficie, o si sencillamente se unirían a la larga lista de fabricantes que han intentado y fracasado en la implementación de una solución completamente segura.

¿Significa esto que Touch ID tiene fallos y debería evitarse su uso? La respuesta no es tan sencilla como podría pensarse. Sí, TouchID tiene fallos, y sí, es posible aprovecharlos para desbloquear un iPhone. Pero la realidad es que esos fallos no son algo que el consumidor corriente deba preocuparse. ¿Por qué? porque aprovecharlos es cualquier cosa menos fácil.

Sortear TouchID requiere una combinación de habilidades, investigación académica y paciencia propias de un técnico del CSI.

Primero tienes que obtener una huella aceptable. Una huella aceptable tiene que tener buena definición y ser una huella completa del dedo correcto que desbloquea el teléfono. Si utilizas tu pulgar para desbloquearlo, de la forma en que Apple lo ha diseñado, estás buscando el dedo que es menos probable que tenga una huella adecuada en el teléfono. Inténtalo tu mismo. Sostén el teléfono en la mano y prueba las diversas posiciones en que usas el teléfono. Descubrirás que el pulgar no entra muy a menudo en contacto completo con el teléfono y cuando lo hace está normalmente en movimiento. Esto significa que tienden a estar borrosas. Así que para poder “hackear” tu teléfono, un ladrón tendría que averiguar qué dedo es el correcto Y obtener una huella clara y definida de eses dedo.

A continuación tiene que “levantar” la huella. Esta es la parte del CSI. Necesitas obtener la huella usando técnicas como la que incluye vapores de cyanoacrilato (“super glue”) y un polvo para huellas adecuado antes de cuidadosa y pacientemente separar la huella usando cinta para huellas digitales. Incluso con una huella bien definida, es fácil emborronar el resultado, y sólo tienes una oportunidad: al separar la huella se destruye el original.

¿Y ahora qué? Si has llegado hasta aquí, es probable que tengas una impresión ligeramente borrosa adherida a una tarjeta blanca. ¿Puedes usarla para desbloquear el teléfono? Esto funcionaba con algunos lectores antiguos, pero desde hace muchos años ya no funciona., y desde luego no lo hace en el iPhone. Para vencer este control necesitas crear una huella digital falsa “real”.

Crear la huella falsa es con certeza la parte más dura y en ningún sentido puede calificarse de “sencillo”. Es un proceso laborioso que requiere varias horas y utiliza un equipo valorado en alrededor de mil euros incluyendo un camara de alta resolución y una impresora láser. Lo primero, tienes que fotografiar la huella, recordando mantener la escala, manteniendo la resolución adecuada y asegurándote que no deformas o tuerces la impresión. A continuación, tienes que editar la impresión y limpiar todo lo que puedas las partes borrosas. Cuando hayas acabado, tienes dos opciones:

El método CCC. Invertir la impresión en el software, e imprimirla en película transparente usando una impresora láser a máxima resolución. Después mezclar pegamento y glicerol sobre la parte de la tinta y dejarlo secar. Cuando se haya secado, tendrás una delgada capa de pegamento seco que servirá como tu huella falsa.

Yo utilicé una técnica descrita por Tsutomu Matsumoto en su documento “The Impact of Artificial “Gummy” Fingers on Fingerprint Systems”, publicado en 2002. En esta técnica, coges la imagen limpiada de la huella y sin invertirla, la imprimes en una transparencia. A continuación, utilizas la transparencia para exponer una placa fotosensible de cobre (se utiliza habitualmente en proyectos eléctricos amateurs). Cuando tienes la imagen en la placa, utilizas elementos químicos especiales para eliminar el cobre expuesto, dejando un molde de la huella. Pones pegamento sobre el molde de la huella y cuando se seque, tienes la huella falsa lista.

Utilizar huellas dactilares falsas es un poco complicado; conseguí los mejores resultados pegándola a un dedo ligeramente humedecido. Mi suposición es que esta táctica mejora el contacto al igualar las diferencias entre la conductividad eléctrica entre ésta y el dedo original.

Entonces ¿Qué aprendemos de todo esto?

Prácticamente, un ataque sigue estando más en el terreno de una novela de John le Carré. No es algo que un ladrón de calle vaya a poder hacer, e incluso en ese caso, tendría que tener suerte. No olvidemos que sólo hay cinco intentos antes de que TouchID rechace las huellas y exija la introducción de un código PIN para desbloquearse. Sin embargo, seamos claros, TouchID es poco probable que resista un ataque dirigido. Un atacante dedicado con tiempo y recursos para observar a su víctima y recopilar datos es pobable que no considere TouchID un reto demasiado grande. Por suerte no es un tipo de amenaza a la que nos enfrentemos la mayoría de nosotos.

TouchID  no es un control de seguridad “fuerte”. Es un control de seguridad “cómodo”. Hoy más del 50 por ciento de los usuarios tienen PIN en sus smartphones, y la primera razón que la gente da para no usar el PIN es que es incómodo. TouchID es suficientemente cómodo para proteger a los usuarios de atacantes casuales u oportunistas (con una preocupación de la que me ocuparé después) y eso es substancialmente mejor que nada.

Hoy tenemos más datos sensibles que nunca en nuestros dispositivos inteligentes. Para ser honestos, muchos de nosotros deberíamos tratar nuestro teléfono como una tarjeta de crédito porque puedes realizar la mayoría de las transacciones financieras con él. La seguridad utilizando huellas dactilares nos ayudará a proteger contra las tres grandes amenazas que enfrentamos los usuarios de smartphones hoy:

La seguridad con huellas dactilares protegerá nuestros datos de un ladrón callejero que nos robe el teléfono.

La seguridad con huellas dactilares nos protegerá si se nos cae, olvidamos o perdemos el teléfono.

La seguridad con huellas dactilares nos protegerá contra ataques phishing (si Apple lo permite)

La seguridad con huellas dactilares tiene una cara oscura, sin embargo: necesitamos evaluar cuidadosamente cómo sus dato se van a gestionar y el impacto que tendrá en la privacidad personal. Lo primero y más importante es cómo se va a gestionar los datos de las huellas dactilares. Como señaó el senador Al Franken en su carta a Apple el 19 de Septiembre, sólo tenemos diez huellas dactilares y un huella dactilar robada o pública podría llevar a una vida completa de problemas. ¡Imagínate tus huellas dactilares apareciendo en todos los crímenes cometidos en tu país!

[vimeo]http://vimeo.com/75324765[/vimeo]

Las grandes preguntas son:

¿Qué datos captura Apple del dedo cuando se activa?

¿Cómo se guardan estos datos y cómo se accede a ellos?

¿Pueden estos datos usarse para recrear una huella dactilar de un usuario matemáticamente o a través de reconstrucción visual?

De forma similar, las huellas se ven de una manera diferente a las contraseñas y PINs a los ojos de la ley. Por ejemplo, la policía y otros oficiales de la ley pueden obligarte a entregar tus huellas digitales, algo que no pueden hacer tan fácilmente con contraseñas o PINs.

Como tecnología, la biométrica de las huellas digitales tiene un fallo que es probable que sea expuesto numerosas veces y corregido en productos futuros. No deberíamos permitir que esto nos distrajera o que nos haga pensar que la biométrica de huellas dactilares deberia abandonarse, sino que deberíamos asegurarnos de que productos futuros y servicios se diseñen con esto en mente. Si aprovechamos sus fortalezas y anticipamos sus debilidades, la biométrica dactilar puede añadir gran valor tanto a la seguridad como a la experiencia del usuario.

Lo que yo, y muchos de mis colegas, estamos esperando es que TouchID permita un doble factor de autenticación. Al combinar dos sistemas de seguridad bajos o medios, como la huella digital y un PIN de cuatro dígitos, creas algo mucho más fuerte. Cada uno de estos elementos tiene sus fallos y sus puntos fuertes. La autenticación en dos pasos te permite beneficiarte de esas ventajas mientras mitigas algunas de esas debilidades.

(…)

A pesar de haber sido hackeada, TouchID es un excitante paso hacia adelante en seguridad telefónica. Hackear TouchID me ha aportado respeto por su diseño y algunas ideas sobre cómo podemos hacer que avance. Espero que Apple se mantenga al habla con la industria de la seguridad a medida que TouchID se enfrente a problemas inevitables. Hay mucho espacio para mejorar, y una interesante carretera delante de nosotros si lo hacemos bien.

Para empezar, Apple, ¿podemos tener autenticación en dos pasos, por favor?

Alf

Propietario de www.faq-mac.com.

0 0 votos
Article Rating
Subscribe
Notify of
9 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
sault
10 years ago

Menuda paja mental….

juan.varios
juan.varios
10 years ago

Muy interesante. A mí me decepcionó un poco el tema, porque yo pensaba que lo que hacía es calcular una especie de HASH de la conductividad de los surcos y crestas de cada huella, y que por eso entre otras cosas un dedo separado del cuerpo ya no sirve. Pero si se es capaz de saltar el acceso utilizando un plástico impreso encima de un dedo, pues ya no lo tengo claro.
Así y todo, como dice el artículo, efectivamente es un gran paso adelante en comodidad y mayor seguridad para el 99,9% de los usuarios. Para el 0,01% restante que necesita de mayor seguridad, la combinación de huella y código alfanumérico no simple parece lo más adecuado.

plastidecor
plastidecor
10 years ago

Pues otra combinación podria ser meter el dedo y prununciar la palabra clave, con siri que reconozca la voz y la cámara frontal que haga una afoto para compararla con el reconocimiento facial, si no es el usuario que toca, el teléfono ya tiene su voz y su jeta, su geolocalización… igualmente sigue siendo un arma de doble filo.

plastidecor
plastidecor
10 years ago

ah, y una foto de los zapatos también

lordshin
lordshin
10 years ago

Bueno mas que hackear Touch ID lo que ha sido hackeada es la huella dactilar.

Hazaelo Roman
Hazaelo Roman
10 years ago

Lo más interesante de esto es que se llama Touch ID, por eso visto videos donde patas de gatos, varias cosas incluyendo un pezon, puede desbloquear el iPhone, porque no es precisamente la huella digital la que identifica sino la impresion que uno deje, si usaras tu nudillo para la impresion y asi desbloquear el iDevice si te lo roban aunque tuviesen las huellas digitales de tus 20 dedos, y un millon de intentos sin que pida el PIN nunca lo desbloquearia un simple ladron, ni unexperto.

Rafa Espada
Rafa Espada
10 years ago

Será complicado hacer uno infalible. Reconocedor de ADN? empezaremos a robar saliva (o sangre), reconocimiento facial? nos pondremos caretas, reconocimiento de voz? grabaremos la voz.

Creo tiene que ser de dos pasos o más, como dice el artículo que con uno pongas una barreta técnica y con otro una barrera de conocimiento. Pero ojo… tampoco se debería perder un ápice de funcionalidad.

Un gran paso este de Apple pero faltan muchos más pasos.

#6 jejeje en realidad eso es lo que ha pasado. 😀 el TouchID no ha sido hackeado, ha sido engañado.

amaya
10 years ago

y no sería útil añadir simplemente algo como, para poder apagar el iPhone / iPad /…. debes introducir tu Pin…. de esta forma al menos o se quedan intentando desbloquear tu tlf, o dejan la camara de fotos encendida para que se gaste mas rapido la bateria y se apague… pero daría mas tiempo a poder rastrearlo, ….

9
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x