Một nhóm nghiên cứu bảo mật của Phòng thí nghiệm X-Lab trực thuộc công ty công nghệ Tencent (Trung Quốc) vừa trình diễn cách bẻ khóa bảo mật vân tay trên điện thoại di động chỉ trong vòng 20 phút khiến nhiều người kinh ngạc.
Trong buổi trình diễn tại một sự kiện về bảo mật GeekPwn 2019 tổ chức tại Thượng Hải, các thành viên trong nhóm nghiên cứu đã mời một số khán giả tham dự bên dưới sân khấu chạm vào ly (cốc) dùng để đựng nước. Sau đó, Chen Yu, trưởng nhóm lấy điện thoại cá nhân của mình ra, chụp ảnh vân tay trên chiếc ly, và đưa hình ảnh này vào một ứng dụng trích xuất dữ liệu vân tay do nhóm tự phát triển. Tiếp theo, dữ liệu lấy được từ hình ảnh sẽ được dùng để tạo ra một bản sao vật lý vân tay của người dùng trong vòng 20 phút.
Hình - Buổi trình diễn bẻ khóa vân tay điện thoại thông minh lấy từ ly nước của người dùng trong sự kiện bảo mật tại Thượng Hải.
Kết quả là, bản sao vân tay được tạo ra đánh lừa được 3 điện thoại di động và 2 máy quét vân tay có chức năng lấy và kiểm tra vân tay của người dùng.
"Để thực hiện kiểu tấn công này, tổng chi phí dành cho phần cứng khoảng 140 USD, trong khi phần mềm chỉ cần một ứng dụng chạy trên thiết bị di động mà thôi" - nhà nghiên cứu Chen Yu nói với báo giới sau sự kiện.
Với những gì mà nhóm nghiên cứu bảo mật X-Lab làm được, liệu bạn có dám chắc là mình sẵn lòng dùng một cái ly (cốc) để uống nước nữa hay không? Bởi vì, chiếc ly mà bạn vừa cầm có thể bám lại trên bề mặt của ly thủy tinh, và rõ ràng chỉ bao nhiêu đó là quá đủ để hacker có thể bẻ khóa smartphone hay những thiết bị dùng vân tay của bạn để mở khóa thiết bị rồi.
Tencent đương nhiên từ chối tiết lộ thêm thông tin về phương thức kỹ thuật cụ thể mà họ đã sử dụng. Nhóm nghiên cứu X-Lab này cũng tuyên bố họ là nhóm nghiên cứu đầu tiên bẻ khóa được cảm biến vân tay ultrasonic (siêu âm), cùng với 2 loại cảm biến vân tay phổ biến khác được dùng trên điện thoại di động thông minh là cảm biến điện dung (capacitance sensor) và cảm biến quang học (optical sensor).
Hình - Thiết bị Samsung Galaxy S10 vướng lỗ hổng bẻ khóa vân tay
Tuy nhiên, điều này không hẳn đúng hoàn toàn, do vào đầu tháng này (10.2019), một phụ nữ Anh đã bẻ khóa thành công cảm biến vân tay trên điện thoại Galaxy S10, chỉ bằng một miếng dán màn hình mua trên eBay với giá 3,4 USD. Sau đó, công ty Hàn Quốc, Samsung tung ra bản vá cho lỗ hổng trên cảm biến vân tay của Galaxy S10 và Note 10. Tuy nhiên, hai thiết bị này đều bị ngưng hỗ trợ kích hoạt sử dụng cảm biến vân tay để xác thực giao dịch thanh toán trên hai nền tảng thanh toán di động lớn nhất Trung Quốc là AliPay và Wechat Pay.
Hình - Alipay, Wechat Pay dừng hỗ trợ nhận dạng vân tay trên một số thiết bị Samsung
Được phát triển bởi Qualcomm, cảm biến vân tay siêu âm được quảng cáo là một giải pháp đáng tin cậy hơn và nhanh hơn so với các cảm biến vân tay trong màn hình khác. Chúng phát sóng âm thanh đến ngón tay bạn và dựa vào dữ liệu dội ngược lại để tạo nên hình ảnh 3 chiều về vân tay. Xiaomi cũng đã sử dụng cảm biến vân tay siêu âm trên một số thiết bị của hãng.
Năm ngoái, nhóm nghiên cứu của Chen đã phát hiện ra một lỗi thiết kế ảnh hưởng đến các cảm biến vân tay trong màn hình thế hệ cũ hơn, khiến nửa tá smartphone đứng trước nguy cơ, bao gồm cả Huawei Mate 20 Pro. Điều duy nhất cần để thực hiện cuộc tấn công là một vật liệu phản chiếu mờ đục. Nếu bạn đang tự hỏi thứ đó có thể tìm thấy ở đâu, thì bạn sẽ há hốc mồm khi biết nó thực ra khá phổ biến: giấy nhôm.
Một nhóm nghiên cứu bảo mật khác của Tencent, Keen Lab, đã phát hiện nhiều lỗi trong hệ thống hỗ trợ lái xe tiên tiến của Tesla trong năm nay, đánh lừa một chiếc Model S lấn sang làn đối diện.
Trong lần hack mới nhất này, các nhà nghiên cứu X-Lab cho biết họ đã phát triển ứng dụng trong nhiều tháng. Họ còn để ý thấy rằng việc trích xuất một dấu vân tay từ mặt kính điện thoại thậm chí dễ dàng hơn nhiều so với từ một chiếc cốc thủy tinh.
Nhưng nhóm nghiên cứu X-Lab nói rằng chúng ta không nên quá lo lắng về vấn đề này. Chen Yu cho biết bạn chỉ cần nhớ lau sạch vân tay thường xuyên bất kỳ khi nào chạm vào thứ gì đó là có thể yên tâm hơn về bảo mật dữ liệu cá nhân của mình.
Nguồn: Abacusnews.com