¿No se siente cómodo con Face ID y otros datos biométricos? Este avance de ciberseguridad puede ser para usted.
Un equipo de investigadores liderado por la Universidad de Buffalo descubrió cómo identificar teléfonos inteligentes al examinar solo una foto tomada con el dispositivo. El avance abre la posibilidad de usar teléfonos inteligentes, en lugar de partes del cuerpo, como una forma de identificación para disuadircibercrimen
"Al igual que los copos de nieve, no hay dos teléfonos inteligentes iguales. Cada dispositivo, independientemente del fabricante o marca, se puede identificar a través de un patrón de fallas de imágenes microscópicas que están presentes en cada imagen que toman", dice Kui Ren, líder del estudioautor: "Es como hacer coincidir las balas con una pistola, solo que estamos haciendo coincidir las fotos con la cámara de un teléfono inteligente".
La nueva tecnología, que se presentará en febrero en la Conferencia de seguridad de redes y sistemas distribuidos de 2018 en California, aún no está disponible para el público. Sin embargo, podría convertirse en parte del proceso de autenticación, como números PIN y contraseñasque los clientes completan en cajas registradoras, cajeros automáticos y durante las transacciones en línea.
Para las personas a las que les han robado su identificación personal, también podría ayudar a evitar que los ciberdelincuentes usen esa información para realizar compras en su nombre, dice Ren, PhD, Profesor de Innovación SUNY Empire en el Departamento de Ciencias e Ingeniería de Computación en la Escuela de la UBde Ingeniería y Ciencias Aplicadas.
Cómo cada cámara es única
El estudio - "ABC: Habilitar la autenticación de teléfonos inteligentes con la cámara incorporada" - se centra en un defecto oscuro en las imágenes digitales llamado falta de uniformidad de la respuesta de la foto PRNU.
Las cámaras digitales están diseñadas para ser idénticas. Sin embargo, las imperfecciones de fabricación crean pequeñas variaciones en los sensores de cada cámara. Estas variaciones pueden hacer que algunos de los millones de píxeles de los sensores proyecten colores que sean un poco más brillantes o más oscuros de lo que deberían ser.
No visible a simple vista, esta falta de uniformidad forma una distorsión sistémica en la foto llamada ruido de patrón. Extraído por filtros especiales, el patrón es único para cada cámara.
Observado por primera vez en cámaras digitales convencionales, el análisis de PRNU es común en la ciencia forense digital. Por ejemplo, puede ayudar a resolver demandas por derechos de autor que involucran fotografías.
Pero no se ha aplicado a la ciberseguridad, a pesar de la ubicuidad de los teléfonos inteligentes, porque para extraerlo se requería analizar 50 fotos tomadas por una cámara, y los expertos pensaban que los clientes no estarían dispuestos a proporcionar tantas fotos. Además, los cibercriminales expertos pueden falsificar el patrón analizando imágenes tomadas con un teléfono inteligente que las víctimas publican en sitios web no seguros.
Aplicando la técnica a la ciberseguridad
El estudio aborda cómo se puede superar cada uno de estos desafíos.
En comparación con una cámara digital convencional, el sensor de imagen de un teléfono inteligente es mucho más pequeño. La reducción amplifica la falta de uniformidad dimensional de los píxeles y genera una PRNU mucho más fuerte. Como resultado, es posible hacer coincidir una foto con la cámara de un teléfono inteligenteusando una foto en lugar de las 50 que normalmente se requieren para el análisis forense digital.
"Creo que la mayoría de la gente asumió que necesitarías 50 imágenes para identificar la cámara de un teléfono inteligente. Pero nuestra investigación muestra que ese no es el caso", dice Ren, miembro del IEEE Instituto de Ingenieros Eléctricos y Electrónicos y ACM Asociación para la ComputaciónMaquinaria Científico distinguido.
Para evitar falsificaciones, Ren diseñó un protocolo, que es parte del proceso de autenticación descrito a continuación, que detecta y detiene dos tipos de ataques.
Cómo funciona el nuevo protocolo de seguridad
El estudio discute cómo podría funcionar un sistema de este tipo. Primero, un cliente se registra en una empresa, como un banco o minorista, y le proporciona a esa empresa una foto que sirve como referencia.
Cuando un cliente inicia una transacción, el minorista le pide al cliente probablemente a través de una aplicación que fotografíe dos códigos QR un tipo de código de barras que contiene información sobre la transacción presentados en un cajero automático, caja registradora u otra pantalla.
Usando la aplicación, el cliente envía la fotografía de vuelta al minorista, que escanea la imagen para medir la PRNU del teléfono inteligente. El minorista puede detectar una falsificación porque la PRNU de la cámara del atacante alterará el componente PRNU de la fotografía.
Los cibercriminales más inteligentes podrían eliminar la PRNU de su dispositivo. Pero el protocolo de Ren puede detectar esto porque los códigos QR incluyen una señal de sonda integrada que se debilitará por el proceso de eliminación.
La transacción se aprueba o se deniega según estas pruebas.
Resultados y lo que sigue
El protocolo derrota tres de las tácticas más comunes utilizadas por los ciberdelincuentes: ataques de falsificación de huellas dactilares, ataques de hombre en el medio y ataques de repetición. Fue 99.5 por ciento preciso en pruebas que involucraron 16,000 imágenes y 30 teléfonos inteligentes diferentes de iPhone 6 y 10 diferentesGalaxy Note 5s teléfonos inteligentes.
Ren planea liderar futuros experimentos en teléfonos inteligentes que incluyen dos cámaras, que según él podrían usarse para dificultar los ataques de falsificación.
Además de Ren, los coautores incluyen Zhongjie Ba UB, Sixu Piao UB, Dimitrios Koutsonikolas UB, Aziz Mohaisen anteriormente de la UB y ahora de la Universidad de Florida Central y Xinwen Fu Universidad de Florida Central.
Fuente de la historia :
Materiales proporcionado por Universidad de Buffalo . Original escrito por Cory Nealon. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :