Una de las principales novedades del Galaxy S5 de Samsung fue la incorporación del lector de huella dactilar que serviría como sistema de autenticación y desbloqueo. Sin embargo, un grupo de hackers logró superar la seguridad impuesta dejando varias cuentas de PayPal en riesgo.
El blog de ??seguridad de lengua alemana H Seguridad, SRLabs, publicó pruebas de vídeo en donde el escáner de huellas dactilares del Galaxy S5 de Samsung puede ser fácilmente falsificado usando una ‘impresión dactilar’. ¿Esto qué significa? Que el hack puede fotografiar una huella reciente que hayamos dejado en un vaso, por ejemplo, y luego utilizar técnicas de laboratorio que permitan transferir la imagen e imprimirla en un material especial que permite simular la huella.
Si bien, el proceso no es sencillo, en cuestión de minutos, el grupo fue capaz de crear un “dedo de prueba” para obtener acceso no autorizado al teléfono.
Este tipo de intromisión al sistema se utilizó previamente con el iPhone 5s escáner de huellas digitales de Apple, el cual fue hackeado utilizando el mismo método. Pero la implementación de seguridad de huella digital del Galaxy S5 hace este truco mucho más peligroso.
Con el sistema Touch ID de Apple, los usuarios al menos estaban obligados a introducir su contraseña antes de usar la huella dactilar para la autenticación. Además, la contraseña debe ser utilizado de nuevo cada vez que se reinicie el dispositivo. Este paso adicional parece molesto, pero impide el spoof alcanzado por SRLabs.
Sin embargo, el Galaxy S5 de Samsung no requiere contraseña para acceder al dispositivo. Incluso después de un reinicio, un simple acto de pasar un dedo sirve para desbloquear el teléfono. Y lo que podría ser mucho más alarmante es el hecho de que, incluso después de un reinicio, los usuarios no necesitan una contraseña para acceder a PayPal y realizar pagos a través de la aplicación, si se ha configurado para la autenticación de huellas dactilares.
Aquí te dejamos el video de SRLabs.