Centro de Investigación Informática Lazarus

Ataques de clonación de huella dactilar: ¿están tus datos biométricos realmente seguros? (PARTE 1)

La tecnología biométrica ha ganado popularidad en los últimos años como una forma segura y conveniente de autenticación. Entre las diferentes modalidades biométricas, la huella dactilar se considera una de las más confiables. Sin embargo, los avances en la investigación de ciberseguridad han revelado nuevas preocupaciones en torno a la clonación de huellas dactilares.

En particular, los ataques conocidos como «MasterPrint» y «PrintListener» han captado la atención de los expertos en seguridad informática, es por ello, que en este artículo te revelamos de qué se tratan y analizaremos los resultados que arrojaron los experimentos de la metodología de ataque utilizada por “PrintListener” a comparación con «MasterPrint».

¿Qué son «MasterPrint» y «PrintListener»?

El ataque de clonación de huella dactilar «MasterPrint» se basa en la idea de que algunas huellas dactilares comparten características comunes, lo que permite generar una «huella maestra» que puede engañar a los sistemas biométricos. Los atacantes identifican patrones comunes en diferentes huellas dactilares y crean una huella maestra que puede coincidir con múltiples huellas dactilares en un sistema de autenticación.

Por otro lado, el ataque «PrintListener» se centra en la interceptación y el robo de huellas dactilares en tiempo real. Un atacante utiliza malware o técnicas de ingeniería social para acceder a un dispositivo o sistema que registra las huellas dactilares, como un lector de huellas dactilares en un teléfono o una máquina de acceso biométrico. Al interceptar y almacenar las huellas dactilares en tiempo real, el atacante puede utilizarlas más tarde para acceder a sistemas protegidos por autenticación biométrica.

Ahora bien, para poder comprender mejor cómo funciona esta metodología y de qué manera está en riesgo nuestra seguridad biométrica, es necesario analizar las pruebas y experimentos realizados para explorar su funcionamiento.

Análisis de la prueba de concepto de la metodología de ataque utilizada por “PrintListener”

El “PrintListener”, explota el sonido de fricción de los dedos al deslizarse sobre una pantalla para extraer características de las huellas digitales. Estamos hablando de verificación de energía de frecuencia completa en el contexto de experimentación.

Según la investigación titulada “PrintListener: Descubriendo la vulnerabilidad de la autenticación de huellas dactilares a través del sonido de fricción de los dedos”, desarrollada por la Escuela de Ciencias e Ingeniería Cibernética de la Universidad de Ciencia y Tecnología de Huazhong, China, junto a otras universidades del país; en los experimentos aplicados, observaron que la energía espectral de los sonidos de fricción aumenta uniformemente a través de las acciones de toque, lo que podría ser un factor crucial que “PrintListener” utiliza para detectar o amplificar características distintivas de las huellas dactilares a partir de los sonidos de fricción

Evaluación de la Seguridad: Se analizó el rendimiento de “PatternMasterPrint” sintético en comparación con una línea base, usando distintos conjuntos de datos y configuraciones de Ratio de Aceptación Falsa (FAR). Los resultados muestran que, dependiendo del valor de FAR, un porcentaje significativo de sujetos de prueba puede ser atacado exitosamente con un número limitado de intentos. Por ejemplo, con un FAR del 0.1% (considerado un equilibrio entre seguridad y usabilidad), “PrintListener” fue capaz de atacar exitosamente alrededor del 52% de los usuarios con huellas digitales de bucle izquierdo, el 48.8% con bucle derecho, y el 53.7% con huellas en torbellino dentro de los 5 intentos.

En la segunda parte de este artículo, te detallaremos a profundidad la metodología de la prueba de concepto del ataque con PrintListener, para una comprensión completa del estudio realizado y su comparativa con otras metodologías existentes.

Para estar al tanto de más contenido como este, únete a nuestra comunidad de Informática Forense, Pentester, Osint y Jurídico.

https://t.me/LAZARUS_VENEZUELA

Fuentes consultadas:

https://www.ndss-symposium.org/wp-content/uploads/2024-618-paper.pdf

Deja una respuesta

¿Conoces el Grupo Lazarus?

× ¿Cómo puedo ayudarte?