Bạn có thể đồng ý với tôi rằng Máy quét dấu vân tay đã trở nên phổ biến đối với hầu hết chủ sở hữu điện thoại thông minh Android. Hầu như mọi điện thoại thông minh Android đều có máy quét dấu vân tay. Trong hầu hết các trường hợp, bạn sẽ tìm thấy máy quét dấu vân tay ở ba vị trí khác nhau của điện thoại thông minh Android. Chúng tôi có máy quét vân tay gắn bên, máy quét vân tay gắn phía sau và dưới màn hình. Bất kể vị trí của nó, tất cả đều phục vụ một mục đích chính, đó là bảo mật.
Vì mỗi người trên trái đất có một dấu vân tay khác nhau nên không thể phủ nhận rằng máy quét dấu vân tay trên điện thoại thông minh phải là một trong những cách bảo mật nhất giữ dữ liệu riêng tư khỏi con mắt thứ ba. Trong chừng mực mà tuyên bố này là một tuyên bố hợp lệ, có thực sự như vậy không? Máy quét dấu vân tay trên điện thoại thông minh có cung cấp hình thức bảo mật tốt nhất không?
Chà, câu trả lời cho vấn đề này có thể phụ thuộc vào cách bạn muốn mở khóa điện thoại được bảo vệ bằng dấu vân tay. Nếu bạn đang cố mở khóa bằng một dấu vân tay khác chưa được đăng ký trên điện thoại thông minh, thì bạn chắc chắn có hình thức bảo vệ tốt nhất. Điều gì sẽ xảy ra nếu bạn cố mở khóa bằng công cụ hack? Điều đó sẽ khá khó khăn để làm phải không? Ngay cả khi có thể, thì công cụ đó chắc chắn sẽ tốn rất nhiều tiền. Đủ đắt để các cơ quan an ninh của chính phủ như FBI và các cơ quan còn lại có thể chi trả cho mục đích điều tra.
Thực tế là có một công cụ mới có thể vượt qua lớp bảo vệ vân tay của thiết bị Android mà không tốn nhiều tiền. Đó là một công cụ trị giá 15 đô la có thể làm được tất cả những điều kỳ diệu.
Công cụ 15 đô la phá vỡ khả năng bảo vệ máy quét dấu vân tay của điện thoại thông minh
Nghiên cứu mới của Yu Chen của Tencent và Yiling của Đại học Chiết Giang Ông đã chỉ ra rằng có hai lỗ hổng chưa biết trong hầu hết các điện thoại thông minh. Những lỗ hổng này nằm trong hệ thống xác thực dấu vân tay và chúng được gọi là lỗ hổng zero-day. Bằng cách lợi dụng những lỗ hổng này, họ có thể khởi động một cuộc tấn công gọi là tấn công BrutePrint để mở khóa hầu hết mọi máy quét dấu vân tay trên điện thoại thông minh.
Để đạt được điều này, họ đã sử dụng một bảng mạch trị giá 15 đô la với một bộ vi điều khiển, công tắc analog, thẻ flash SD , và đầu nối board-to-board. Tất cả những gì kẻ tấn công cần là dành 45 phút với điện thoại của nạn nhân và tất nhiên, cơ sở dữ liệu về dấu vân tay.
Máy quét dấu vân tay của điện thoại thông minh Android đã bị tấn công trong vòng 45 phút
Nhà nghiên cứu đã thử nghiệm tám loại khác nhau Điện thoại thông minh Android và hai iPhone. Các điện thoại Android bao gồm Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G và Huawei P40. iPhone cũng bao gồm iPhone SE và iPhone 7.
Tất cả các biện pháp bảo vệ dấu vân tay trên điện thoại thông minh đều có số lần thử hạn chế, nhưng cuộc tấn công BrutePrint có thể vượt qua giới hạn này. Trên thực tế, trình xác thực vân tay không yêu cầu khớp chính xác giữa đầu vào và dữ liệu vân tay được lưu trữ để hoạt động. Thay vào đó, nó sử dụng ngưỡng để xác định xem đầu vào có đủ gần để khớp hay không. Điều này có nghĩa là, bất kỳ hệ thống độc hại nào cũng có thể lợi dụng và cố gắng khớp dữ liệu vân tay được lưu trữ. Tất cả những gì họ phải làm là có thể vượt qua giới hạn đặt ra cho số lần lấy dấu vân tay.
Tin tức trong tuần của Gizchina
Cách các nhà nghiên cứu sử dụng công cụ $15 để mở khóa máy quét vân tay trên điện thoại thông minh
Để mở khóa điện thoại thông minh, tất cả những gì các nhà nghiên cứu phải làm là tháo nắp sau của điện thoại thông minh và gắn bảng mạch $15. Ngay khi cuộc tấn công bắt đầu, chỉ mất chưa đầy một giờ để mở khóa từng thiết bị. Sau khi thiết bị được mở khóa, họ cũng có thể sử dụng thiết bị đó để ủy quyền thanh toán.
Thời gian cần thiết để mở khóa mỗi điện thoại khác nhau giữa các điện thoại. Trong khi Oppo chẳng hạn mất khoảng 40 phút để mở khóa, thì Samsung Galaxy S10+ mất khoảng 73 phút đến 2,9 giờ để mở khóa. Điện thoại thông minh Android khó mở khóa nhất là Mi 11 Ultra. Theo các nhà nghiên cứu, mất khoảng 2,78 đến 13,89 giờ để mở khóa.
iPhone khá an toàn
Khi cố gắng mở khóa iPhone, các nhà nghiên cứu không thể đạt được mục tiêu của họ. Điều này không thực sự có nghĩa là dấu vân tay của Android yếu hơn của iPhone. Chủ yếu là do Apple mã hóa dữ liệu của người dùng trên iPhone. Với dữ liệu được mã hóa, cuộc tấn công BrutePrint không thể truy cập vào cơ sở dữ liệu dấu vân tay trên iPhone. Do đó, không có cách nào để hình thức tấn công này có thể mở khóa dấu vân tay của iPhone.
Người dùng điện thoại thông minh Android có thể đảm bảo tính bảo mật cho dữ liệu cá nhân của họ như thế nào?
Là người dùng cuối, bạn không thể làm được gì nhiều ngoài việc sử dụng mật khẩu và các hình thức bảo vệ khác. Tuy nhiên, các nhà phát triển Android phải thực hiện các biện pháp bổ sung để đảm bảo an toàn cho dữ liệu người dùng. Theo quan điểm này, các nhà nghiên cứu, Yu Chen và Yiling đã đưa ra một số khuyến nghị. Họ gợi ý rằng nhóm phát triển sẽ hạn chế các nỗ lực bỏ qua. Họ cũng kêu gọi Google mã hóa tất cả dữ liệu được gửi giữa máy quét dấu vân tay và chipset.
Kết luận
Bạn có thể nhận thấy rằng các nhà nghiên cứu đã sử dụng điện thoại thông minh cũ cho cuộc tấn công được gọi là BrutePrint này. Điều này là do điện thoại thông minh Android hiện đại được bảo mật cao hơn với quyền truy cập ứng dụng và dữ liệu an toàn ứng dụng chặt chẽ hơn. Xét từ phương pháp mà các nhà nghiên cứu này sử dụng, sẽ rất khó để cuộc tấn công BrutePrint có thể xâm nhập vào hệ thống bảo mật hiện đại của Android.
Security Boulevard cũng đã trấn an người dùng điện thoại thông minh Android mới nhất rằng đừng lo lắng. Điều này là do cuộc tấn công BrutePrint có thể không hoạt động trên điện thoại thông minh Android tuân theo các tiêu chuẩn mới nhất của Google.
Nguồn/VIA: