Actores de amenazas superan las tecnologías de escaneo de huellas dactilares con fines maliciosos

Recientemente, el investigador Xianbo Wang de Hong Kong presentó sus hallazgos en Black Hat Europe, explorando el robo de huellas dactilares, un ataque basado en la interfaz de usuario que tiene como objetivo las huellas dactilares escaneadas en aplicaciones de Android.

¿Qué es el robo de huellas dactilares?

Los investigadores han descubierto cinco nuevas técnicas de ataque, todas las cuales se pueden lanzar desde aplicaciones de Android maliciosas sin permiso, e incluso se puede trabajar contra todas las aplicaciones que integran la API de huellas digitales.

  • El robo de huellas dactilares puede permitir que un atacante use una aplicación maliciosa con un fondo oculto y atraer a la víctima para que ingrese sus huellas digitales cuando otra aplicación está en primer plano. Estas huellas digitales se envían a la aplicación en segundo plano y se utilizan para autorizar algunas acciones peligrosas sin que el usuario se dé cuenta.
  • Las aplicaciones con versiones de Android 7 o Android 8 normalmente pueden escuchar la entrada de huellas digitales, aunque Google ha agregado mitigaciones a la API FingerprintManager para bloquear las entradas de huellas digitales en segundo plano a partir de Android 9.
  • Además, los investigadores han logrado evitar / romper estas mitigaciones de Android en el ataque de carrera que explota un error (CVE-2020-27059) en un comportamiento del ciclo de vida de Android.
  • De las 1.630 aplicaciones de Android que usan la API de huellas digitales, 347 (21,3%) tienen diferentes problemas de implementación que pueden permitir a los atacantes obtener acceso de root en las aplicaciones de administrador de root más utilizadas y robar dinero de una aplicación de pago.

Incidente adicional relacionado con huellas dactilares

En noviembre, TronicsXchange , con sede en California, expuso más de 2,6 millones de archivos, incluidas alrededor de 80.000 imágenes biométricas de tarjetas de identificación personal y 10.000 escaneos de huellas dactilares en un depósito AWS S3 mal configurado.

Recomendaciones

Para evitar ataques de piratería de huellas digitales, los expertos aconsejan a los desarrolladores que utilicen la API biométrica androidx [.] De Android X, que es un contenedor para FingerprintManager y BiometricPrompt API con implementación segura. Además, los desarrolladores deben asegurarse de que su aplicación cancele explícitamente el proceso de autenticación de huellas dactilares cuando se pausa una aplicación para evitar ataques de robo de huellas dactilares.