Descubren un fallo de seguridad bancaria en los iPhone al usar Live Photos
Una investigadora señala una vulnerabilidad en dos apps que pueden causar el pirateo de una cuenta bancaria utilizando la foto del usuario.
Hoy día confiamos y usamos tanto nuestro teléfono móvil, que incluso realizamos operaciones bancarias con él usando las aplicaciones de los bancos que hay para Android e iOS. Y de hecho algunos necesitan confirmación mediante sensor biométrico para seguir adelante con la operación si el smartphone tiene por ejemplo lector de huellas o reconocimiento facial, realizando transferencias, pagos de facturas y otras operaciones en un momento sin tener que encender el ordenador, acudir a un cajero o hacer cola en el banco.
11:FS
Pero cuidado si tenemos un iPhone, ya que parece ser que hay dos aplicaciones bancarias que sufren una vulnerabilidad de seguridad y pueden ser fácilmente hackeadas usando simplemente la función Live Photos del terminal. Al menos esto es lo que clama Meaghan Johnson, directora de investigación en la firma tecnológica financiera 11:FS, que aduce a que cualquiera puede acceder a su cuenta bancaria a través de dos apps de dos bancos distintos con sólo una foto de ella para engañar al sensor biométrico usado para loguearse en la app.
Usando una imagen de ella tomada con Live Photos, que captura y muestra una imagen con movimiento limitado, es posible acceder a la cuenta bancaria de Johnson que usa con alguna de las dos apps en las que ha descubierto el problema, simplemente porque ambas aplicaciones usan una forma de reconocimiento basada en el sensor biométrico del escáner facial. O sea, que con una foto del usuario simplemente pestañeando ya podemos confundir al registro de seguridad de la app y pasar el control haciendo creer a la aplicación que es Meagan Johnson quien está frente al sensor biométrico.
Reconocimiento Facial
La vulnerabilidad de seguridad descubierta solamente afecta a las apps de bancos que usan el reconocimiento facial como método para iniciar sesión y entrar en su cuenta a través del móvil, que de momento son unas pocas aunque su número está creciendo debido a la creencia de que los sensores biométricos son más seguros que solicitar una contraseña alfanumérica. La investigadora no ha querido hacer públicos los dos bancos cuyas apps tienen este problema de seguridad, señalando simplemente que uno es un banco de Estados Unidos y el otro uno de nueva creación en el Reino Unido.
Y aunque reconoce que se puede llevar a cabo, también admite que hay que dar muchos pasos , como que "alguien tendría que tener tu teléfono y desbloqueado, una foto tuya pestañeando y tendrían que hacerlo sin que tu estuvieras presente".