Volver al Blog
androidseguridad-movil2faprivacidad
Cuando Tu Pantalla Te Espía: El Ataque de Canal Lateral en Android
Investigadores han descubierto una vulnerabilidad a nivel de hardware en Android que permite a apps maliciosas robar códigos 2FA directamente de tu pantalla. Aquí está por qué el aislamiento de software está fallando.
Miguel Treviño•
Resumen:
- El Error: Una vulnerabilidad de canal lateral a nivel de hardware permite que apps maliciosas de Android "espíen" la pantalla analizando las interacciones de la GPU.
- El Impacto: Esto elude el aislamiento de apps, permitiendo a los atacantes robar códigos 2FA y frases semilla cuando se muestran en pantalla.
- La Vulnerabilidad: Depender de "secretos que puedes ver" (códigos OTP, contraseñas) es inherentemente defectuoso cuando el aislamiento de hardware falla.
- La Solución: Zelf usa ZK Face Proof para derivar claves dentro del enclave seguro; las claves nunca se muestran en pantalla, haciendo inútil el espionaje de pantalla.
Confiamos en que nuestros teléfonos sean bóvedas seguras. Asumimos que cuando abrimos nuestra app bancaria o Google Authenticator, otras apps no pueden ver lo que está sucediendo.
Estábamos equivocados.
Como reportó Officer CIA, investigadores han descubierto una vulnerabilidad de canal lateral a nivel de hardware en dispositivos Android.
El "Espía de Pantalla"
Esta vulnerabilidad permite que una app maliciosa—instalada en el mismo dispositivo—infiera lo que se muestra en tu pantalla analizando recursos de hardware compartidos (como las interacciones de la GPU).
¿Qué significa esto?
- ¿Ese código 2FA de 6 dígitos "inhackeable" que acabas de generar? Robado.
- ¿La frase semilla que acabas de escribir en tu billetera? Comprometida.
- ¿Tus mensajes privados? Leídos.
Crucialmente, esto elude el sandbox estándar de "aislamiento de apps" en el que Android se basa. Y peor aún, Google ha etiquetado esto como "Inviable" de corregir en el hardware existente.
Por Qué "Tu Rostro Es Tu Clave" Gana
Este es el escenario exacto para el que Zelf fue construido.
La seguridad heredada depende de secretos que puedes ver: contraseñas, frases semilla, códigos OTP. Si está en tu pantalla, puede ser capturado, fotografiado o espiado.
Zelf es diferente.
- Claves Invisibles: Con Zelf, tu clave privada nunca se muestra en pantalla en texto plano. Se deriva de tu ZK Face Proof dentro del enclave seguro.
- Sin Códigos que Robar: No escribes una contraseña ni copias un código 2FA. Simplemente escaneas tu rostro. Incluso si una app maliciosa está vigilando tu pantalla, no puede "reproducir" tu escaneo facial ni robar la prueba de conocimiento cero generada dentro del módulo de seguridad de hardware.
Las vulnerabilidades de hardware siempre existirán. Tu arquitectura de seguridad no debería desmoronarse cuando se descubren.