Billetes del Banco Central Europeo contienen un fallo de seguridad en la producción y afectan a la seguridad biométrica

Billetes del Banco Central Europeo contienen un fallo de seguridad en la producción y afectan a la seguridad biométrica

En los últimos meses, el equipo de Vulnerability Lab revisó los nuevos billetes de 20 € y 50 € del banco central europeo. Uno de los investigadores del equipo central de Vulnerability Lab identificó que para el signo de seguridad de los hologramas hay diferentes componentes en uso. Las firmas de seguridad son construidos por el Banco Central Europeo con varios elementos de alto perfil en las firmas para garantizar que los billetes del banco tengan un nivel de protección serio. Después de que los investigadores procesan algún tiempo las firmas para identificar un impacto, finalmente pudieron identificar el siguiente fallo de seguridad.

seguridad-biometrica-billete

Descubriron una anomalía en la sección de los hologramas de los nuevos billetes impresos de 20 € y 50 €. El letrero de seguridad en los billetes de banco se produce con una película transparente. En el medio del nuevo holograma de los billetes de 20 y 50 € hay una imagen de una mujer y diferentes estructuras parecidas a huellas dactilares. En el momento en que detectaron el problema, usaron un microscopio para mirar más de cerca.

Después de una discusión interna, de que la señal de seguridad podría usarse para procesos de autenticación biométrica, probamos el holograma para su uso en diferentes escáneres de huellas dactilares como Asus Pro, Eikon, Samsung Galaxy S7/ 8 y Apple iPhone con ios 11. Todos los mecanismos podrían pasarse por alto utilizando el holograma de los billetes de banco para falsificar una huella digital que es aceptada por el sistema de escáner de huellas dactilares. Después de eso, el atacante puede volver a iniciar sesión con el holograma universal.

Finalmente, pudieron evitar el proceso de identificación biométrica de los diferentes dispositivos. Ningún sistema puede identificar que el holograma no es una huella dactilar real. Al final, descubriron en el proceso de prueba que los hologramas se pueden usar para agregar mediante escritura y autenticación a través de la lectura. Ahora hay problemas múltiples en relación con el problema de seguridad.

  1. Huella digital: lector y escritor (dispositivos móviles)

Los dispositivos de usuario final, como los teléfonos con sensores de huellas dactilares de fabricantes como Samsung, Apple, Huawei & Co., son permanentemente vulnerables a este nuevo tipo de ataque. El sensor no aprueba el reflejo del holograma en el modo de lectura y escritura. Interpreta las señales de seguridad como características de una huella dactilar real. De este modo, se obtiene un bypass sencillo con cualquier billete de 20 € o 50 € después del registro. Para usar un atacante solo se necesita usar su dedo detrás del holograma para evitar la verificación del impulso manual del idevice. El resto de los mecanismos no son precisos para aprobar el contenido durante la verificación del sensor.

  1. Seguridad biométrica en Europa

Cada vez que EZB produce más billetes afectados, la seguridad biométrica en todos los países de Europa generalmente se debilita. En un futuro cercano, EZB planea anular los hologramas a cualquier billete de banco (5 €, 10 €, 100 € y Co.). Esto sería un grave incidente para todos los sistemas biométricos que usan la yema del dedo para autenticarse debido a que cualquier persona puede realizar ese tipo de ataques contra un entorno o servicio.

  1. Falsas huellas dactilares

Cualquier persona que tenga acceso a un sistema podría usar un holograma de un billete europeo para falsificar su huella dactilar.

  1. Huella digital universal como clave

Una vez que se escribe un holograma en una base de datos, cualquier atacante podría usar otro holograma de la misma serie de billetes para eludir el mecanismo de seguridad y finalmente obtener acceso al entorno. También los administradores o moderadores pueden configurar una clave de huella digital universal para cualquier dbms para una mayor entrada.

  1. Guardar contenido en signos biométricos o leer datos

La problemática podría ser utilizada por las agencias de seguridad para guardar datos en la firma biométrica o para usarlos para obtener acceso a entornos protegidos. Un agente podría, por ejemplo, guardar variables de datos en el signo biométrico del billete de banco para extraer información.

  1. Información en el holograma

En el caso especial de una entrada de huella dactilar generada por variables matemáticas con información simple, el contenido se puede guardar como información de texto sin formato para extraer la información binaria. La información binaria de la huella dactilar del holograma se puede descifrar utilizando diferentes teclas de almohadilla desconocidas de una sola vez. Por lo tanto, los datos de la huella dactilar se traducen en código binario con un dispositivo de huellas dactilares (código abierto) en texto sin formato. El texto plano se usa para identificar una figura dentro del holograma de signo de seguridad.

  1. Guarde su privacidad

En ese punto, las personas también pueden usar el holograma para autenticarse para un sistema o dispositivo móvil. En el caso de un usuario, no desea guardar su huella digital personal en ningún dispositivo que no sea de confianza. Entonces, ahora pueden usar el holograma para guardar una huella digital y autenticar la forma completa de anonimata.

  1. Pasar por alto la seguridad biométrica con la ayuda de billetes de banco

bypass-seguridad-biometrica

Descripción del problema y causas

La referencia 1 ha demostrado la seguridad biométrica de los billetes europeos para falsificar una huella dactilar en un PoC.

Posibles escenarios de amenaza

  1. Evitar la copia de seguridad biométrica relacionada con la persona en dispositivos móviles, como el iPhone de Apple, u.v.m.
  2. Si es necesario Falsificación de los identificadores biométricos de los documentos de identidad. Los documentos de identificación falsos pueden venderse en el mercado negro con una huella dactilar registrada por única vez. La cantidad de copias y personas es irrelevante.

Contramedidas:

  1. Generar conciencia entre los fabricantes y usuarios de Smart Meter Biometrics.
  2. Eduque los alimentadores de datos para que los dedos estén libres de materias extrañas (por ejemplo, pegamento o similares) y verifique.
  3. Medidas organizativas

a) Revisión de perfiles biométricos existentes en dispositivos
b) Modificar el proceso de identificación de datos biométricos
c) Verifique los datos biométricos para detectar duplicaciones en sistemas de TI y bases de datos

Fuentes:

Read more