Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/12/2014
Hackers pueden robarte la huella dactilar con una foto
En una demostración durante una conferencia, el grupo hacker alemán CCC ha obtenido la huella de la ministra de Defensa de Alemania, a partir de una foto. Esta huella se puede imprimir en una lámina de silicona y colocarse en un dedo para engañar a los lectores de huellas.
Ya hemos hablado en otras ocasiones de los problemas que plantean las contraseñas biométricas. Al contrario que un password de números y letras, que puedes memorizar o encriptar, las contraseñas biométricas están a la vista, completamente desprotegidas. Son tus huellas, tus ojos, tu rostro, incluso el latido de tu corazón.
Cualquiera puede amenazarte para que coloques tu huella en el lector TouchID del iPhone 6, y robarte información. O drogarte con cloroformo, o aprovechar cuando estás dormido para usar tus huellas, iris u otra contraseña biométrica, sin que te des cuenta.
En todos estos casos, es necesario que el ciberdelincuente robe esta contraseña directamente de tu cuerpo. Ya no. El grupo hacker alemán The Chaos Computer Club (CCC) ha conseguido piratear la huella dactilar de la Ministra de Defensa de Alemania, Ursula Von der Leyen, a partir de una foto. Asegura que pueden usar esa huella para engañar a lectores dactilares como el TouchID de Apple, incluido en el iPhone 6, iPhone 5S o los nuevos iPad.
¿Es eso posible? Según CCC, basta con hacer una foto con una cámara estándar a un dedo del sujeto. En el caso de la Ministra de Defensa usaron fotos de una conferencia, desde distintos ángulos.
Con ayuda del software VeriFinger, disponible para todo el mundo, recrearon la huella completa. En una demostración que ya hicieron el año pasado, esa huella se imprime en una lámina de silicona que se coloca sobre el dedo, y se usa para engañar a un lector de huellas como el TouchID del iPhone 5S.
El hacker Starbug de CCC concluye que la única solución es usar contraseñas estándar junto a las contraseñas biométricas... O acudir a las conferencias de prensa con guantes...
Pero entonces, ¿para qué sirven los lectores de huellas si tenemos que seguir memorizando números y letras, que es lo que hacíamos antes?
Noticia completa y vídeo demostrativo en el siguiente enlace.