Poco a poco un sistema biométrico como el sensor de huellas dactilares ha ido convirtiéndose en un estándar para la seguridad de la mayoría de teléfonos inteligentes del mercado.
Sin embargo, este método puede no ser del todo efectivo para proteger los dispositivos y sus contenidos.
Investigadores de Tencent Labs y la Universidad de Zhejiang han identificado un nuevo ataque de fuerza bruta que, válgame la redundancia, 'fuerza' dichos sensores de huellas para eludir la autenticación del usuario y tomar el control del dispositivo. A esta amenaza la han bautizado como 'BrutePrint'.
Por 'ataques de fuerza bruta' se entienden esas estrategias llevadas a cabo por los cibermalos para acceder a un sistema, cuenta o red mediante un enfoque de ensayo error y muchos intentos.
Explotando dos vulnerabilidades de día cero
Los analistas chinos llegaron a superar las salvaguardas existentes en los teléfonos, explotando lo que afirman que son dos vulnerabilidades de día cero: Cancel-After-Match-Fail (CAMF) y Match-After-Lock (MAL).
Para más inri, los investigadores encontraron que los datos biométricos en la interfaz periférica en serie (SPI) de los sensores no estaban protegidos adecuadamente, lo que permitía un ataque de intermediario (MITM) para secuestrar imágenes de huellas dactilares.
Los expertos probaron los ataques BrutePrint y SPI MITM en diez modelos populares de smartphones, obteniendo intentos ilimitados en todos los dispositivos Android y HarmonyOS (Huawei) y diez intentos adicionales en terminales iOS.