Es fácil engañar al escáner de huellas dactilares de su teléfono. Así es como deberíamos solucionarlo.

A principios de la semana pasada, estaba configurando sensores de huellas digitales en mi nuevo iPhone. Fue entonces cuando a mi hermano, @Prateek , se le ocurrió una idea para probar estos sensores de huellas digitales móviles.

La prueba consistió en escanear su dedo junto con el mío en el momento de configurar la huella digital. Ya sabe cómo estos dispositivos le piden que levante y luego descanse el dedo varias veces para capturar todos los ángulos posibles. Así que lo hicimos: le escanearon el dedo unas cuantas veces cuando el teléfono esperaba que levantara y descansara solo mi dedo.

Para mi asombro, logramos engañar al teléfono. La configuración se completó y ahora los dos podíamos usar nuestro dedo para desbloquear el teléfono. Así es como se veía la configuración: solo un dedo configurado, y ambos podríamos desbloquear el teléfono.

El pensamiento se deslizó en nuestros cerebros: ¿es esto una especie de error o qué? Por ahora, este era el momento de un ejercicio divertido: probarlo con todos los demás teléfonos compatibles con la detección de huellas dactilares.

Así que comenzamos con varios teléfonos Android, algunos con ROM estándar y otros con sistemas operativos personalizados de un tercero como Micromax, Lenovo y Xiaomi. El resultado fue el mismo para todos. Cada uno de nosotros podría usar nuestro dedo para desbloquear el mismo teléfono mientras solo estaba configurado un dedo.

Primero, entendamos cómo funcionan estos escáneres de huellas digitales móviles

Siguiendo el punto, hay dos tecnologías populares y centrales detrás del escaneo de huellas dactilares en los teléfonos móviles.

Escáner óptico : esta técnica utiliza una imagen óptica para capturar varias imágenes de su dedo. Una especie de cámara de alta precisión y pocos LED hacen el trabajo aquí. Luego, el software compara estas imágenes bidimensionales con la imagen tomada del dedo escaneado.

Dado que se trata esencialmente de una imagen que se compara, estos escáneres son fáciles de engañar. Una imagen de una huella digital impresa con una impresora de alto DPI es suficiente para engañar a este tipo de escáneres.

Escáner de condensadores : aquí una matriz de condensadores captura el patrón de la imagen escaneada. Un circuito eléctrico complejo debajo captura los datos y se utiliza para comparar el dedo escaneado.

Esta técnica es mucho más segura y difícil de engañar. No se puede usar una imagen de alta definición de un dedo para desbloquear el teléfono. El teléfono Samsung Galaxy S8 afirma que usa esta técnica.

Ahora es el momento del debate: ¿es correcto o no?

Al principio, cuando ve que esto sucede, puede notar que algo inusual está sucediendo. Para mantener seguro su escáner de huellas digitales, los siguientes componentes son importantes:

  • Técnica de escaneo : hardware utilizado para escanear el dedo y extraer datos / patrones de él.
  • Almacenamiento : base de datos donde se almacenan los datos / patrones de la huella digital.
  • Algoritmo : que se utiliza para almacenar y comparar el patrón escaneado.

Para la seguridad general, registrar la huella digital es tan importante como consultar la base de datos para su verificación. Parece haber una falla e ineficiencia en la forma en que se almacenan las huellas dactilares.

Al observar el caso anterior, parece que varias impresiones de huellas digitales recopiladas en el momento de la configuración se almacenan como un conjunto de datos independiente. Cuando escanea un dedo para desbloquear el dispositivo, el escaneo se compara con una matriz de la representación binaria de dedos que se escanearon en el momento de la configuración. Posiblemente, así es como pudimos engañar al teléfono escaneando el dedo de otra persona en el momento de la configuración.

Parece haber un problema conceptual y fundamental en cómo funciona actualmente el sistema.

No puedo reclamar ningún caso de uso en el que esto pueda conducir a una brecha de seguridad. Pero dado que la adaptación de la autenticación basada en huellas dactilares está aumentando rápidamente y su uso ha ido más allá del simple desbloqueo de su dispositivo, tiene sentido mejorar la tecnología para cerrar la brecha.

Entonces, ¿qué sigue?

En el momento de la configuración, las exploraciones sucesivas del dedo se podían comparar entre sí para garantizar que todas las exploraciones registradas fueran del mismo dedo. Es obvio que existe un porcentaje de superposición entre varios escaneos. Tal cosa habría impedido que Prateek Dwivedi escaneara su dedo cuando intentaba configurar el teléfono. Esto habría asegurado la forma en que se capturan las huellas digitales en el momento de la configuración.

La recuperación podría hacerse más segura si no se compara el escaneo para desbloquear el dispositivo con solo uno de los escaneos pre-almacenados. Idealmente, el escaneo se comparará en alto grado con una de las representaciones almacenadas, y también se comparará con todos los demás escaneos hasta cierto punto. En lugar de confiar en una sola coincidencia óptima, debemos puntuar la coincidencia en función de una comparación de todas las representaciones. Se debe considerar el porcentaje acumulativo de comparación para autenticar.

Conclusión

Para concluir, como señalé en mi blog anterior: "Identificación y uso biométrico en aplicaciones bancarias móviles:"

La autenticación biométrica aún no es lo suficientemente segura. Recientemente, hemos visto una inclinación y un cambio hacia el uso de estas técnicas también para pagos y transacciones financieras. El auge de los teléfonos móviles y los dispositivos de IoT se ha sumado a la adaptación de las técnicas de autenticación biométrica. Es hora de pensar más en hacer que la tecnología de autenticación biométrica sea más segura y difícil de comprometer.

Sígueme en medio: Nikhil Dwivedi.

Mi nombre de usuario de Twitter es - @Niks_Dwivedi