Internacional. Los científicos informáticos del Tencent Security Xuanwu Lab de China han descubierto formas de engañar al proceso de autenticación biométrica clásico para que apruebe erróneamente el acceso a dispositivos por parte de usuarios no autorizados.
La autenticación biométrica es uno de los segmentos de más rápido crecimiento en la industria de la seguridad. Utiliza reconocimiento facial, reconocimiento de huellas dactilares, verificación de escritura a mano, geometría de la mano, escáner de retina e iris para la identificación del usuario. Se ve como una mejora con respecto a la autenticación de dos factores, que es vulnerable a los ataques por fuerza bruta, phishing o procesos de inicio de sesión de terceros.
En el camino, los informáticos crearon una técnica a la que se refieren como "detección de vida", que es esencialmente el acto de diferenciar un espacio de características en vivo y no vivo. El algoritmo tiene en cuenta varias combinaciones de rasgos físicos humanos que determinan colectivamente si el presente individual está vivo, contrarrestando a los impostores que intentan evitar las defensas mediante la introducción de una gran cantidad de biometría falsificada en el sistema.
Estos hallazgos fueron compartidos públicamente por el investigador de Xuanwu Lab, HC Ma, en una conferencia de BlackHat USA 2019 en Las Vegas.
Los investigadores del Laboratorio Xuanwu pudieron explotar un defecto en un algoritmo de detección de vida que les permitió comprometer una función de recuperación de contraseña o inicio de sesión basada en biometría y luego iniciar sesión en la cuenta de un objetivo de forma remota mediante la inyección de transmisiones falsas de video o audio que se generaron desde una cara foto o una breve grabación telefónica.
El equipo de Xuanwu Lab también recurrió a tácticas de muy baja tecnología para llevar a cabo una travesura de muy alta tecnología. Demostraron cómo obtuvieron con éxito las funciones de reconocimiento facial de un teléfono inteligente para desbloquear un dispositivo protegido. Solo necesitaban grabar fotos manipuladas de imágenes de los ojos en un par de anteojos comunes que se colocaron sobre la cara de una víctima dormida para evitar el mecanismo de detección de atención de las funciones FaceID del dispositivo.
Según Ma, pudieron modificar los anteojos "en menos de 2 minutos".
Fuente: Symantec.
Deje su comentario