Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
mayo
(Total:
105
)
- Google deja sin soporte el popular ChromeCast de p...
- Abogados usaron ChatGPT para demandar a una aerolí...
- Ya disponible para descargar: Kali Linux 2023.2
- Le robaron 200€ y acabó denunciado por compartir e...
- Las discográficas culpan a la Wikipedia de sus pér...
- Discos Duros WD para NAS Synology "caducan" a los ...
- Colapsan "The Internet Archive" por culpa del entr...
- Cómo usar Generative Fill, la inteligencia artific...
- Un abogado se enfrenta a sanciones por usar ChatGP...
- Elon Musk ya tiene autorización para probar implan...
- Un simple enlace de WhatsApp cuelga la aplicación ...
- El algoritmo de la activación de Windows XP ha sid...
- Predator, otro spyware mercenario
- Una app de Android grabó audio de sus usuarios en ...
- El malware QBot utiliza del EXE de WordPad en Wind...
- Cómo funciona el procesador de un PC
- El ataque "Hot Pixel" podría robar datos de chips ...
- Microsoft desvela un ataque informático chino a in...
- Microsoft presenta Windows 11 ‘Momentos 3’
- ¿Qué es NIS2 y cómo afecta a la Ciberseguridad en ...
- Videollamadas con la cara y la voz clonada de tu m...
- Podman Desktop 1.0, primera versión mayor de la he...
- Una explosión en el Pentágono creada por inteligen...
- Amouranth ya tiene un chatbot erótico y de pago ge...
- Windows 11 integra nuevo asistente de inteligencia...
- La Audiencia Nacional de España deja en libertad ...
- BugCheck2Linux: Ejecuta Linux después de una panta...
- España pretende prohibir el cifrado de extremo a e...
- Así revelan las apps de Android nuestros secretos ...
- WhatsApp ya permite editar mensajes enviados duran...
- Millones de televisores Android TV y teléfonos bar...
- China prohíbe la compra de los microchips de la es...
- Intel propone eliminar definitivamente los 32 y 16...
- Teléfonos Android son vulnerables a los ataques de...
- CVE-2023-27363: Prueba de concepto para ejecución ...
- Secure Boot, la característica de seguridad de UEFI
- PMFault, una vulnerabilidad que permite dañar físi...
- Meta recibe la mayor multa de la historia de la Un...
- Zero trust: la desconfianza por defecto como clave...
- Apple emite parches de emergencia para Safari (vul...
- Vulnerabilidad en Keepass permite obtener la contr...
- Twitter acusa a Microsoft de usar sus datos de man...
- Microsoft tardará casi un año en terminar de parch...
- El CEO de ChatGPT dice en el Senado de EE.UU que «...
- Los peligros de los nuevos dominios .zip registrad...
- WARP, la VPN gratuita de CloudFlare
- Actualización de seguridad 6.2.1 para WordPress
- Mojo, el nuevo lenguaje de programación creado por...
- En 15 minutos un iPhone podrá hablar con tu voz
- La IA la vuelve a liar: las imágenes de la Ministr...
- Microsoft está escaneando archivos ZIP protegidos ...
- Google eliminará las cuentas que lleven dos años i...
- EE.UU. ofrece una recompensa de 10 millones por la...
- WhatsApp introduce el bloqueo de Chats con contras...
- Euskaltel víctima de un hackeo con robo de 3TB dat...
- LTESniffer, una herramienta open source para inter...
- Alternativas RaspBerry Pi: Orange Pi 5 Plus y Bana...
- Youtuber confiesa que estrelló su avioneta para co...
- Directivo empresa unidades flash pronostica el fin...
- Elon Musk elige a Linda Yaccarino, exdirectora de ...
- Alternativas gratuitas a Photoshop
- El código fuente filtrado de Babuk permite crear n...
- Toyota expone los datos de localización de 2 millo...
- Maltego, la herramienta para recopilar información...
- Cuidado con falsa pantalla de actualizaciones de W...
- El Ayuntamiento de Madrid alertó de multas falsas ...
- uBlock Origin, el complemento más popular del nave...
- YouTube no permite ver vídeos a los usuarios que u...
- Cómo solucionar problemas y recuperar con el Inici...
- Google realiza en su buscador el mayor cambio de t...
- WhatsApp activa el micrófono sin tu permiso por cu...
- Detenidos en España miembros de los Trinitarios ac...
- PlugWalkJoe: el ermitaño que hackeó Twitter se enf...
- Así se las ingenia este usuario para conseguir pen...
- Multan con 200 mil € al Mobile World Congress de B...
- Golpe histórico del FBI a ciberdelincuentes rusos:...
- El FBI incauta 13 dominios utilizados para vender ...
- La Policía española investiga si Alcasec y su soci...
- Disponible distro Parrot OS 5.3 con Linux 6.1 y MA...
- La polícia de San Bernardino (California) paga el ...
- Amazon se llena de reseñas falsas generadas con Ch...
- Rusia usó WinRAR para borrar ficheros a Ucrania en...
- El padre de Elon Musk confirma la existencia de su...
- Detenido por pedir un préstamo suplantando la iden...
- Discord te obligará a cambiar tu nombre de usuario
- QR, bluetooth y criptografía: esta es la idea de G...
- Ataques de DLL sideloading o Hijacking
- Google anuncia el Pixel Fold, su primer móvil pleg...
- Día mundial de las contraseñas
- Resultados financieros de Apple: récord ingresos i...
- Apple estrena los parches de respuesta de segurida...
- Gmail activa los emails verificados con una insign...
- Google dice que solo el 11% entienden el significa...
- FaulTPM es una vulnerabilidad que afecta a los pro...
- La Generalitat Cataluña quiere grabar hasta lo que...
- Apple y Google trabajan para evitar la localizació...
- Herramientas para detectar typosquatting
- Las cuentas de Google admiten claves de acceso y y...
- ProtonPass, el nuevo gestor de contraseñas con cif...
- El 'padrino' de la IA deja Google y avisa de los p...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
Teléfonos Android son vulnerables a los ataques de fuerza bruta contra las huellas dactilares
BrutePrint es el nombre con el que han bautizado los investigadores de la Universidad de Zhejiang y de Tencent Labs al sistema que han descubierto con el cual pueden acceder a los móviles Android saltándose la protección con huella. A través de un ingenioso método, tienen la capacidad de desmantelar la hasta ahora férrea seguridad en la que confían millones de personas.
Usando fuerza bruta: BrutePrint
El nombre del sistema no es una casualidad: se trata de un proceso que actúa con fuerza bruta para acabar desbloqueando el móvil «por las malas». Tras muchas pruebas, los investigadores responsables del estudio han demostrado que, haciendo uso de las vulnerabilidades CAMF (Cancel-After-Match-Fail) y MAL (Match-After-Lock) pueden entrar en todos los móviles Android en los que lo intenten.
Lo más preocupante es que no solo han puesto en práctica estos sistemas de fuerza bruta, sino que también han descubierto vulnerabilidades en los propios entornos de detección de huella digital. Así, han probado con ataques MITM para poder acabar con la protección de las huellas de una manera alternativa. Esto demuestra que existen serios problemas de seguridad en los sistemas de identificación con huella digital y que los fabricantes tienen que ponerse las pilas para que no se acabe convirtiendo en un gran riesgo.
¿En qué móviles han probado?
A la hora de hacer el estudio, el cual se ha publicado en Arxiv era crítico tener la máxima variedad de resultados a fin de comprobar que lo que habían descubierto era real. Por ello, han llevado a cabo pruebas y ataques de huella digital en diez dispositivos Android y HarmonyOS de la máxima popularidad y en otros tantos modelos dotados de iOS. A la hora de la verdad, sus conclusiones han demostrado que los iPhone, entre ellos versiones como el iPhone SE o el iPhone 7, tienen un nivel de seguridad más robusto. Una de las principales diferencias se ha encontrado en la manera en la que los terminales de Apple bloquean los ataques de fuerza bruta después de una serie de intentos, lo que evita que estos puedan llegar a ser exitosos.
Sí se ha visto que los terminales iOS pueden ser sensibles a ataques CAMF, pero debido a ese bloqueo una vez se han hecho varias pruebas, los investigadores no han podido poner en práctica su sistema. Todo lo contrario ha ocurrido con los móviles Android, puesto que se permiten intentos ilimitados y al final el superar los bloqueos de seguridad por huella acaba siendo una cuestión de tiempo. En los casos en los que el móvil solo tiene una huella dactilar grabada, los periodos de tiempo que se han necesitado están entre 2,9 y 13,9 horas. Si hay más de una huella, estos márgenes se reducen drásticamente hasta una media de entre 0,66 y 2,78 horas, puesto que el sistema tiene más fácil acabar superando una de las barreras de acceso.
¿Cómo funciona?
El sistema que han ideado requiere que el atacante tenga acceso al móvil de la victima. Además de esto son necesarias dos cosas. La primera de ellas es tener una base de datos de huellas dactilares que están disponibles de distintas formas a través de los medios habituales a los que tienen acceso los hackers. La segunda se trata de un equipamiento específico que hay que utilizar para realizar los ataques, pero que sorprendentemente solo tiene un coste de 15 dólares (unos 12 euros).
La técnica de la que hace uso este sistema consiste en repetir intentos de identificación con huella en el móvil objetivo utilizando un error que llega al terminal y evita que quede registro de los intentos fallidos. De esa forma, el ataque puede continuar provocando huellas sin descanso hasta descubrir la necesaria para hacer el desbloqueo. Además, también utilizan el sistema MAL que te hemos mencionado antes con la intención de engañar al móvil y que no se quede bloqueado en el proceso de los intentos de inicio de sesión.
En esta ecuación también entra en juego un sistema del que está dotado el ataque BrutePrint con el cual se modifican las huellas dactilares de la base de datos que se esté usando para intentar que coincidan con más precisión con la huella almacenada en el móvil. Eso simplifica el proceso y recorta el tiempo necesario para saltarse las defensas.
No obstante, como es necesario tener acceso al móvil del atacante, parece que este descubrimiento no será tan peligroso como se podría imaginar. Eso sí, posiblemente les dé más de una idea a los hackers para desarrollar nuevas técnicas en el futuro.
Apenas tardan unas horas
Este mismo informe indica que apenas tardan unas horas en romper una huella dactilar utilizando BrutePrint. Concretamente, contra dispositivos vulnerables tardan entre 2,9 y 13,9 horas. Lógicamente es necesario que el usuario haya registrado una huella dactilar en el teléfono, ya que de lo contrario no podrían acceder.
Pero cuidado si has registrado varias huellas dactilares y no solo una en el teléfono. En este caso, según indican, el tiempo de fuerza bruta se reduce incluso a menos de una hora. Al haber más probabilidades, el tiempo se reduce considerablemente.
En definitiva, como ves los teléfonos móviles pueden ser vulnerables a ataques de fuerza bruta contra la huella dactilar. Siempre debes evitar que hackeen el teléfono. Es importante siempre tenerlos actualizados, ya que vulnerabilidades de este tipo pueden aparecer en cualquier momento. Es clave usar un buen antivirus también, para detectar cualquier malware.
Fuentes:
https://www.adslzone.net/noticias/seguridad/barato-saltarse-proteccion-huella-movil-android/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.