Una unidad USB con autenticación biométrica, supuestamente imposible de hackear, ha sido hackeada, exponiendo contraseñas en texto sin formato, reportan especialistas del curso de seguridad web del IICS.
Este dispositivo, llamado eyeDisk, es la primera unidad USB en todo el mundo que usa tecnología biométrica (reconocimiento de iris) para proteger la información almacenada. Este dispositivo puede usarse sin necesidad de conexión a Internet, además de que las medidas biométricas del usuario no serán transmitidos a ninguna otra plataforma fuera del mismo dispositivo.
Expertos de un curso de seguridad web decidieron realizar algunas pruebas en este dispositivo; “mientras realizábamos algunas pruebas de penetración a una billetera de Bitcoin, la idea de un dispositivo ‘imposible de hackear’ nos entusiasmó y decidimos apoyar algunos proyectos que solicitaban financiamiento colectivo que trataban de diseñar herramientas ‘inhackeables’.
“Al comenzar las pruebas, después de conectar el eyeDisk a una máquina virtual de Windows, los especialistas pudieron extraer contraseñas/hash en texto sin formato, simplemente tuvieron que rastrear el tráfico USB”.
Los expertos del curso de ciberseguridad descubrieron que, en esencia, eyeDisk era un dispositivo USB con un hub y una cámara conectados; “Obtuvimos la contraseña con tan sólo dar seguimiento al tráfico USB”, confirmaron los especialistas. Los expertos accedieron a la contraseña de respaldo del dispositivo, que se usa en caso de que falle el identificador biométrico o algo ocurra en el ojo del usuario, usando solamente una herramienta de software para detectar el tráfico en los dispositivos USB.
Acorde a los especialistas del curso de seguridad web del Instituto Internacional de Seguridad Cibernética (IICS) esta herramienta cuenta con un enfoque de seguridad muy deficiente y con propensión al colapso. Los desarrolladores de eyeDisk aseguraban que este dispositivo usaba una tecnología para el reconocimiento de iris en conjunto con cifrado AES-256.
Los desarrolladores confirmaron que recibieron un informe sobre las fallase en eyeDisk el 9 de abril y prometieron lanzar actualizaciones para corregir las fallas; no obstante, la compañía no mencionó una fecha aproximada para que las correcciones sean lanzadas. El 8 de mayo terminó el plazo para que la compañía revelara el incidente y publicara sus actualizaciones, sin embargo esto no ocurrió, por lo que la vulnerabilidad fue revelada por los expertos al día siguiente.
Después de observar tantos casos de dispositivos ‘inhackeables’ que de hecho se pueden hackear, comenzamos a creer que se trata de una afirmación demasiado arriesgada por parte de los desarrolladores; “tal vez el concepto ‘inhackeable’ se ha estado usando de forma un poco exagerada”, concluyeron los especialistas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad