El equipo de hacking biometrico del Chaos Computer Club (CCC) ha tenido éxito rompiendo la seguridad biométrica de Apple TouchID utilizando medios cotidianos sencillos. Una huella digital del usuario del teléfono, fotografiada desde una superficie de vidrio, fue suficiente para crear un dedo falso que podría desbloquear un iPhone 5s asegurado con TouchID. Esto demuestra - una vez más - que la biometría de huella dactilar no es adecuada como método de control de acceso y debe ser evitada.
|
etiquetas: iphone 5s , huella dactilar , apple , seguridad
Y creo que Apple lo ha clavado, volviendo precisamente a hacer un dispositivo para ese 95% de usuarios que lo que quiere cuando usa un móvil (o cualquier cacharro) es precisamente no tener que pensar.
Por 800 euros queréis un móvil dorado y que funcione...como soís...
Y creo que Apple lo ha clavado, volviendo precisamente a hacer un dispositivo para ese 95% de usuarios que lo que quiere cuando usa un móvil (o cualquier cacharro) es precisamente no tener que pensar.
Pero ahora mismo para el 99% de las personas que usan el codigo de 4 numeros, la huella dactilar será considerablemten mas segura
1) Con el PIN cualquier puede mirarte por encima del hombre. De hecho muchas veces para joder a amigos les digo el codigo pin en voz alta cuando desbloquean el teléfono
2) Con la huella dactilar tienes que hacer una foto de altisima resolucion, luego imprimirla en una impresora laser y luego tener acceso al movil.
En cualquier caso es lo que digo, que me da igual, el que quiera hacerme el mal lo va a hacer igualmente, por lo que prefiero sacrificar un poco de seguridad (en algo que de por si no es seguro) para ganar mucha comodidad. El PIN, los patrones de desbloqueo, son un coñazo. Y sí, mi PIN es el 5555 por el mismo motivo.
Como sistema alternativo al pin está bien si es mas rápido, y la información en el dispositivo no sea muy importante.
Cuando mi hermano fue capaz de desbloquearla con su dedo dejé de fiarme de la biometría.
Ahora, el aire de arrogancia que se traen algunos, hace que no den ganas de contestar a nada. Ni que hubiera sido uno de los que comenta aquí el que haya descubierto el método.
Que aires se dan algunos (sin merecerlo y solo por protestar y tratar a los demás de tontos).
Afortunadamente se puede escoger entre las dos opciones de desbloqueo, así que si me compro el Iphone 5 utilizaré la huella dactilar hasta que sospeche que el servicio secreto israelí está detrás de mi.
Fijaos como cambia el dedo al final, por si alguno no se lo cree.
No es tan sencillo como con los antiguos escáneres de huellas que tienen muchos portátiles (el mío, por ejemplo), que se podían pasar con un simple dibujo.
Lo malo es que si hay algo que hay en abundancia en un teléfono son huellas digitales en la pantalla
Y me jode defender a Apple, pero al cesar lo que es del cesar.
¿Donde recojo mi premio?
#27 Nah, en realidad para levantar una huella dactilar fácilmente sólo hace falta polvo fino de color oscuro (se puede hacer fácilmente con tiza) y cinta adhesiva transparente.
De cualquier forma en el vídeo es la misma persona con distinto dedo quien hace la prueba. Y hay que recordar que el iPhone puede guardar varias huellas. Podría ser un fake (o quizás no).
Traté de encontrar el vídeo en youtube, pero no está subido
#Macgyver, visionario del milenio.
¿piensas manejar tu teléfono con guantes verdad?
Usar la huella dactilar en lugar de un pin es tan imbécil como si escribieras el pin encima de tu teléfono.
Pero eso si, quedas muy guay y vendes montón de teléfonos a precios inflados a "tontos útiles" que irán corriendo a cambiar su viejo y feo iphone 5 por el iphone 5s. ^^
Lo que no acabo de entender es el efecto espejo, cuando tomas tu huella y le das la vuelta en vez de tener surcos tienes crestas, ¿esto no es capaz de reconocerlo?, por otro lado, se supone que ya tienen la experiencia de ver que se hizo con los modelos de otros fabricantes, ¿no se dieron cuenta o es que no es tanto como dicen?. No sé, todo son dudas, que alguien lo explique mejor please!!
Lo que me gustaría también ver es a otra persona haciendo eso, y saber como han generado la huella de silicona.
Puede ser una variante anterior o posterior de lo que dices, al fin y al cabo trucos tampoco tenía tantos, pero variantes hacían unas cuantas...
Y perdona el negativo, se me fue el dedo! :´(
Hay muchas razones por las que estas biometrías dejaron de usarse a gran escala... y es que son relativamente fáciles de engañar...
Total, que como dice #32 todo parece indicar que la NSA busca registrar a medio planeta...
#40 #22 De hecho, esas son huellas perfectas para levantar... porque sobre la superficie de las pantallas de smartphones y sus protectores plásticos la huella queda impregnada con la grasa de la mano, lo que deja un relieve claro y sencillo para reproducirla...
Estoy contigo, creo que ahora sí que la NSA tiene las huellas de ese tío
offtopic; que pongan la opción de quitar los negativos por dios, que los que tenemos touchpad y un dedo tembloroso (como el del vídeo) somo unos torpones!
Cuánto mal ha hecho Horatio y toda su tropa...
PD: lo dice un usuario muy contento con Android.
Por lo demás, sacar un pin o un patrón no es demasiado complicado, primero si tienes algo de cercanía con la víctima, y sí sois muy amigos lo más probable es que ya lo sepas. Al menos yo sin quererlo, ni pedirlo, he sabido cual es el patrón de otros y alguna vez hasta me lo han enseñado. Otra cosa es que yo no tenga nada mejor que hacer que aprendérmelos.
Y tampoco es por defender a apple, es precisamente porque odio ese dogmatismo que digo esto, me da igual que en este caso los idiotas no estén de ese bando. Además, al final usar alguno de los dos es una molestia más que una protección, lo de la huella dactilar no está tan mal y es menos absequible de falsificar que el reconocimiento facial.
edit)
"First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet"
No sólo utilizaron la foto impresa, sino que utilizaron leche de latex, aunque según el artículo también se puede hacer con cola blanca
NINGUN sistema debe permitor el desbloqueo exclusivamente por huella dactilar. Seria un suicidio y te podrias ver en situaciones como que al salir de la piscina despues de estar nadando una hora, que no podias llamar a alguien porque tenias arrugados los dedos. Y ya no pongamos que te lesionas, en un dedo y no puedes usarlo
Por ello, tienen que habilitar otro sistema de desbloqueo alternativo, como sera el numerito o un patron (Si es que lo tienen)
Por ello al final, tu sistema acaba siendo menos seguro que antes, pues tendra las mismas vulnerabilidades que antes (con el codigo numerico) mas las vulnerabilidades de poder entrar falseando la huella
Con eso tenemos un sistema que presume ser mas seguro y que realmente hace todo lo contrario
Claro claro...
Un móvil, por su naturaleza, es un dispositivo que llevamos siempre encima a todas partes. Llevar en el móvil información tan sensible que, si alguien accede a la misma nos podamos meter en un lío tremebundo es, me perdonaréis que lo diga, de idiotas (así, en negrita).
¿Conocéis algún método de bloqueo de un móvil que sea (casi) infalible? BlackBerry lo tenía, al menos en mi antiguo 9700: podías poner clave de hasta 20 caracteres de largo y teclearla a dos pulgares a toda velocidad en un teclado imposible de seguir. Eso sí era un terminal (casi) seguro.
Ahora tengo un iPhone 5 (negro, por cierto) y, aparte del PIN, llevo dos programitas, cada uno con su clave larga, en los que meter, por ejemplo, la última foto en paños menores que me enviaron ayer (si es que tal cosa me llega a ocurrir alguna vez, claro). Ni cuentas corrientes ni accesos a mi certificado digital ni nada.
Estamos tontos, coño.
Mi mejor recomendación sería que comenzaseis a aprender a usar Linux para cosas normales al menos sin irse a lo astronómico. Pues de aquí a unos años... será cada vez más necesario.
Me parece muy triste que se trate de tontos a la gente por tener un teléfono u otro, y que quede claro que no tengo un iPhone, ni un teléfono de gama alta.
Estoy con #6 en que debe ser un buen compromiso seguridad-comodidad. ¿Cuantas veces habeis adivinado el pin de una persona solo con ver como mueve los dedos?
Que es un teléfono, coño, no la cerradura de fort knox.
Yo creo que esta gente del CCC se complicó mucho. No había querido dar detalles sobre cómo copiar huellas pero dado que ya se ha publicado por todas partes, creo que no empeorará las cosas explicarlo:
Yo lo he visto hacer hace mucho tiempo de esta forma:
1) se revela la huella utilizando por ejemplo toner de impresora que es un polvo muy fino y negro, aunque se venden por internet "kits de detectives" con el material necesario para buscar huellas.
2) se fotografía o se escanea
3) se retoca lo que no se haya revelado bien utilizando un editor gráfico
4) se imprime CON LASER un negativo de la huella en una filmina transparente. Esto deja los surcos con suficiente profundidad.
5) se cubre con una fina capa de cola blanca de la de la escuela
6) en unos minutos, cuando la cola se vuelve transparente, se despega con cuidado. El resultado es la huella positiva.
7) se humedece el dedo y se pega la huella falsa sobre el dedo.
8 ) de ser necesario se humedece un poquito la huella con muy poca agua salada para hacerla conductora.
Todo se puede hacer con materiales que dispone cualquiera y con práctica puede tomar pocos minutos.
¿Donde conseguir la huella del dueño del teléfono? Fácil: el mismo teléfono está cubierto de huellas de su dueño.
Funciona (o va a funcionar) así: los comercios instalan balisas (ya sea con hardware especializado o utilizando iphones o ipads del comercio). Esas balizas permiten al sistema localizar un iphone con precisión de centímetros dentro del local.
Entonces, el usuario se sienta con su iphone en la mesa de un restaurante. Pide lo que quiera mediante el teléfono o a quien lo atienda. Finalmente, la aplicación le muestra el importe de la cuenta y el usuario autoriza el pago con la huella.
Ahora imagina la cantidad de fraudes que se podrían hacer con iphones robados. Dado que no utilizan NFC, no hace falta que el teléfono esté presente físicamente. Las balizas se puden llevar a cualqueir parte o crear unas propias, y con eso realizar compras en cualquier parte haciendo parecer que el teléfono se encuentra en un bar de rusia por ejemplo. Todo con la sencillez de una huella fabricada fácilmente como dice #68
Si, puedes sacar la huella dactilar del mismo telefono, pero para cuando hagan una impresión en 3d (que tampoco es que lo tenga mucha gente) ya habrás borrado los datos de forma remota (supongo que si se toman tantisimas molestias para quitarte el móvil, es la información lo que quieren)
Ninguna tecnología es infalible, pero de ahí a no ver los avances que haga una compañía porque le teneis ojeriza ya me parece de genero tonto
"[...] with materials that can be found in almost every household: First, the fingerprint of the enroled user is photographed with 2400 dpi resolution".
No soy fanboy de Apple pero hay veces que la cosa se va de madre...
Edito: #68, ¿en serio? ¿puedes conseguir mi huella de la superficie del teléfono y conseguir fotografiarla con nitidez a 2400 ppp? Me parece extraño...
Lo que he dicho es que puedes revelar una huella fácilmente, y que puedes fotografiarla con cualquier cámara digital... me faltó aclarar "que tenga macro" pero la mayoría lo tienen actualmente. O puedes usar un scanner.
Un scanner bueno puede escanear a 2400ppp así que no es problema, pero ¿Qué resolución se consigue con una foto? A ver... Si la cámara es de 5Mpx por ejemplo, la foto será de 2560x1920. Y la huella mide bastante menos de una pulgada. Así que sí, con una foto de 5Mpx consigues fácilmente los 2400 puntos por pulgada.
Aunque insisto en que probablemente no sea necesario tanto. Mira el perfecto detalle de la huella que se consigue con 0,2 megapixels
CCC no ha roto nada: ha utilizado una conocidísima tecnica de hackeo de dispositivos biomecánicos, que todos hemos visto en decenas de películas: cómo extraer una huella dactilar y crear un molde de latex.
"Sólo" hace falta un equipo de extración de huellas, un equipo de impresión de altísima resolución y en un material especialísimo (y caro).
Ninguno de los que estamos aqui, incluso con el video, podrías "romper" el touchID. Pero en el caso de que alguien pueda, en las horas que pueden pasar desde que le robas el iphone a alguien y te pones a generar la huella dactilar falsa da tiempo a borrar y a bloquear el iphone un millon de veces.
Además recordamos a los no informados (a los que su ignorancia no les impide opinar) que sigue disponible el desbloqueo por contraseña tradicional, que incluso es obligatorio para ciertos pasos, y que ambos pueden coexistir.
Pero lo más asombroso, entre tanto experto en seguridad, es que a nadie le haya dado por mencionar que el nuevo sistema operativo permite que ningun iphone/ipad pueda volver a funcionar si es robado: una vez bloqueado, no volverá a funcionar hasta que se vuelva a introducir la contraseña (incluso con reinicios o cambios de bateria).
Con todo, claro que no es seguro; nada lo es. Pero sí bastante más seguro, especialmente en la compras online. Y en todo caso: si no os gusta, no lo compreis. Pero, al menos, informaros antes de echar pestes...
#5
#7
#36
#68
#56
Si quieres saber como pretenden hacerlo sin NFC infórmate sobre iBeacons, en la WWDC hicieron unas cuantas sesiones al respecto. Si exige presencia para ser detectado por las balizas. Es cierto que tienen mayor alcance, pero estar en una esquina del local en lugar de en la caja no creo que lo consideremos "no verificar presencia física".
Vamos, un fanboy que solo se siente guay si está con el ultimo trasto aunque el cambio sea añadir una "s" al número.
Por otra parte, si te molestaras en buscar margenes de beneficio por fabricantes de dispositivos verías que apple los tiene y muy por encima de los demás.
www.xatakamovil.com/mercado/relacion-entre-telefonos-vendidos-y-benefi
Ahora intenta repetir lo de otros con precios inflados sin que me ria en tu cara.
Otras marcas dependen de un SO de un tercero, o de canales de ventas de terceros, o de tiendas de aplicaciones de terceros, o de estrategias de comecializacion de terceros. Cosas así explican márgenes mucho más pequeños. Y, en todo caso, no sé qué significa "precios inflados". Los precios no están inflados: cualqueir persona con un mçinimo de cultura económica sabría que los precios se ajustan a su demanda.
Si Apple lo vende sus teléfonos a 500, a 1000, o a 2000€ es problema suyo, mientras agote su producción. Si da algo diferente a los demás que satisface las necesidades y expectativas del mercado pondrá el precio más alto posible (como ocurre en todos los productos en el mercado). No hay "precio inflados": hay el precio de equilibrio respecto la demanda del mercado.
#71 ¿fracaso?
La huella se puede revelar con toner de impresora o con pegamento del que vale 1,80 en los chinos.
La captura se puede hacer con cualquier cámara de fotos que tenga macro o un scanner
La impresión se hace con una impresora laser común y corriente.
El molde se hace con cola blanca de la de la escuela, o con silicona común si quieres que sea duradera.
Todo perfectamente al alcance de cualquiera aunque los del CCC hayan utilizado métodos "premium" a la altura del "producto premium" de Apple.
www.antena3.com/noticias/tecnologia/usuarios-iphone-escriben-mas-que-a
(...) el usuario de iPhone utiliza su teléfono una media de 1 hora y 15 minutos su teléfono al día, mientras que en Android la cifra se reduce a 49 minutos.
Diferencias según uso
En el caso de Android, de los 49 minutos de uso, un 28% del tiempo se dedica a hablar, un 16% a texto, un 16% a conexiones sociales, un 16% a visitar webs, un 8% al email, un 8% a juegos y otro 8% a otras actividades.
Por su parte, los usuarios de iPhone invierten el 22% de esa hora y 15 minutos a hablar. Esa misma fracción de tiempo se aplica a escribir textos, mientras que un 16% es para redes sociales, un 12% para navegar por webs, un 10% para el email, un 8% para juegos y un 10% para "otros".
Las diferencias pueden deberse a que entre los usuarios de Android se encuentran perfiles menos familiarizados con la tecnología, que han accedido a uno de estos 'smartphones' por una oferta a precio económico; y que el teclado de iOS es muy cómodo e idéntico en todos los modelos, mientras que el de Android es más o menos fluido dependiendo del fabricante.