viernes, 22 de febrero de 2013

Facial Authentication Bypass android

Compartir este artículo:

Hace pocos días un colega del curro tuvo la suerte de poder ir mas rápido que ninguno y pudo comprar el ansiado Google Nexus 4. Se sabe que este modelo ha sido muy demandado y en cuestión de minutos se ha agotado el stock.

Al cabo de los días le ha llegado el dispositivo y entre otras cosas quiso aplicar seguridad a su teléfono.

¿Que podemos usar para desbloquear el teléfono?:

seguridad

Una vez que lo tenemos claro, empezamos.

Patron:

Patron Android

Sin duda yo creo que el patron es el mas usado, es cómodo y muy personalizable, puedes configurarte patrones sencillos como el que ves en la imagen de arriba, o bien puede ser complicado como el siguiente:

Como veis este es un poco mas complicado de saltar.

Contras:

El uso de patrones sencillos

Si no tenemos cuidado con el reflejo de la luz podemos ver el rastro del patrón  parece una tontería pero yo o he visto hacer mas de una vez.

Contraseña

El uso de un password mejora la seguridad si lo comparamos con un patrón. Aquí si no se usan malas prácticas como el uso de passwords como 12345 o admin o cosas así, no será tan fácil para un atacante poder desbloquear nuestro teléfono.

password

Contra:

El uso de contraseñas sencillas.

¿Menos usabilidad?

Pin

A mi el PIN no me gusta ya que solo puedes escoger 4 dígitos numéricos para crear tu protección de acceso.

PIN Security

Contra:

Solo 4 dígitos para la protección de acceso.

Ataques por fuerza bruta:

Cualquiera de los métodos anteriormente mencionados se le pueden aplicar ataques por fuerza bruta, solo faltaría que pudiéramos acabar acertando el patrón, contraseña o PIN.

Es por eso que se implementan otros factores para no facilitar este paso de ataques por fuerza bruta, por ello se añaden temas de tiempo:

Tiempo de espera

El tiempo se irá incrementando si vamos fallando, hasta que al final se nos bloqueará el dispositivo y nos pedirá nuestra cuenta de Google.

Google Account

Una vez sabemos que alternativas podemos elegir y que ocurre con los ataques de fuerza bruta, vamos a la parte de desbloqueo usando nuestra cara. Es decir, autenticacion facial.

Para activarlo deberemos de ir a las opciones en nuestro Android.

facial

Voy pasar por el alto el uso de “encriptación” por parte de los traductores de Google. El post no es para eso.

Se combina el uso del desbloqueo facial con un patrón. En el caso de fallo del desbloqueo facial, tenemos como alternativa el patrón, PIN o contraseña. En el caso de repetidos fallos con el desbloqueo facial autoamticamente saldrá el    patrón para desbloquear el teléfono.

Autenticación facial:

Activamos la autenticación facial, cuando lo hagamos, al desbloquear el teléfono nos saldrá lo que la cámara pueda ver para desbloquear el teléfono.

david_telefonoAuthentication bypass

Seguro que muchos lo habéis probado, en este caso solo tuve que poner una foto de mi compañero delante para que el teléfono se desbloqueara.

Supongo que para evitar esto, incluyeron una opción mas y es que hiciera falta parpadear para que se desbloquee el teléfono.

facial

En este caso intente hacer una transición de fotos con el desbloqueo para tratar de hacer bypass, pero no funcionó.

Enhanced Authentication Bypass

Seleccionando esta opción, solo tuvimos que grabar un video de 10 segundos con él parpadeando para poder saltar la autenticación, sin duda muy sencillo.

Aunque la autenticación facial pueda parecer mas seguro que una contraseña, pues nadie te “podría” copiar la cara, recuerda hay otros métodos.

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...