HTC y Samsung almacenaron datos de huellas dactilares sin cifrar

Investigadores de la firma FireEye han presentado en la conferencia de seguridad Black Hat nuevos métodos de ataque contra smartphones Android con sensores de huellas digitales. El más llamativo es el hack contra el HTC One Max y el Samsung Galaxy S5 por la débil implementación de esta tecnología.

Los escáneres de huellas dactilares han sido uno de los primeros métodos de autenticación biométrica que han llegado a los móviles inteligentes. Son ya un buen número de modelos de gama alta los que lo incluyen y se espera que prácticamente lo incorporen terminales de cualquier rango en los próximos años.

Tecnología interesante que permite aumentar la seguridad en la autenticación, el acceso a servicios o compras on-line siempre y cuando se implemente correctamente. Todo lo contrario de lo realizado por HTC y Samsung en los modelos mencionados.

FireEye encontró una manera de robar la información de manera sencilla ya que los datos se almacenaban en un fichero llamado dbgraw.bmp, que se encontraba sin cifrar. Además, el sistema de reconocimiento de huellas dactilares refrescaba la imagen en mapa de bits en cada operación de autorización, pudiendo los hackers recolectar cada nueva imagen de la huella dactilar introducida por la víctima.

Al parecer tanto Samsung como HTC confiaron en el mismo proveedor para el sistema de reconocimiento de huella dactilar para los smartphones mencionados, de ahí que el error sea el mismo en ambos. Samsung cambió de proveedor y los Galaxy S6 se encuentran libres.

Ambos fabricantes han parcheado la vulnerabilidad después del aviso de los investigadores pero el caso muestra que aún nos queda mucho para avanzar en materia de seguridad móvil. Lo veíamos en el artículo con las pruebas de seguridad en relojes inteligentes.