Smartphones de HTC y Samsung almacenan las huellas dactilares sin cifrar

La autenticación biométrica promete facilitar la protección de los datos del usuarios, evitando que este tenga que memorizar contraseñas y números PIN para poder acceder y desbloquear cosas basadas en la computación.

Sin embargo, a pesar de que la autenticación biométrica suponga en teoría un avance, una mala implementación de esta puede terminar por volverlas mucho más inseguras que la contraseña tradicional, o al menos eso le ha pasado a Samsung y HTC.

Los investigadores de FireEye han encontrado una manera de robar la información relacionada con la huella dactilar de los smartphones HTC One Max y Samsung Galaxy S5. La huella dactilar del usuario, utilizada para la autenticación biométrica, se almacena en un fichero llamado dbgraw.bmp, que se encuentra sin cifrar. Esto pone en serio riesgo para los usuarios que utilicen esta autenticación en esos dispositivos, ya que al no estar cifrado y ser accesible, puede ser eliminado, editado o utilizado con fines maliciosos de todo tipo. Al parecer tanto Samsung como HTC han confiando el mismo proveedor para el sistema de reconocimiento de huella dactilar para los smartphones mencionados, de ahí que el error sea el mismo en ambos.

La cosa no acaba aquí, porque el sistema de reconocimiento de huellas dactilares refresca la imagen en mapa de bits en cada operación de autorización, pudiendo los hackers recolectar cada nueva imagen de la huella dactilar introducida por la víctima.

Samsung decidió cambiar el sensor de huellas dactilares para el Galaxy S6, incorporando este último un mayor nivel de seguridad y que no se ve afectado por este fallo.

Fuente | BetaNews
Más información | BlackHat