Bảo mật mống mắt của Galaxy S8 dễ dàng bị hack bằng... hồ dán giấy

sunny

VIP Members
30/06/2014
870
1.849 bài viết
Bảo mật mống mắt của Galaxy S8 dễ dàng bị hack bằng... hồ dán giấy
Nghiên cứu mới nhất của Bkav chỉ ra công nghệ nhận dạng mống mắt ứng dụng trên dòng điện thoại Samsung Galaxy S8 có thể dễ dàng bị vượt qua chỉ với một chiếc máy ảnh và... một chút hồ dán nước.

1666082.jpg

Theo chia sẻ của Bkav, việc vượt qua cơ chế bảo vệ này đơn giản hơn nhiều so với cách dùng kính áp tròng được công bố trước đó. Thậm chí, ai cũng có thể thực hiện được.

Cụ thể, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết: "Về bản chất ‘máy quét mống mắt' trên Galaxy S8 là một máy ảnh nhưng khác các máy ảnh thường là có thể thu ánh sáng hồng ngoại nhằm có được hình ảnh mống mắt rõ nét hơn. Nghiên cứu của chúng tôi khẳng định cơ chế nhận diện mống mắt cũng giống với nhận dạng khuôn mặt, chỉ khác là số điểm nhận diện lớn hơn. Do đó, cũng không đảm bảo an toàn và có thể vượt qua".

1666079.jpg

Minh họa các bước "qua mặt" bảo mật mống mắt trên Galaxy S8 (Ảnh: Bkav)

Để thử nghiệm, chuyên gia Bkav sử dụng máy ảnh có tính năng hồng ngoại (tương tự camera mống mắt trên Galaxy S8) để chụp mắt chủ nhân chiếc điện thoại. Hình ảnh sau đó được in ra qua một chiếc máy in thông thường và bị bôi một lớp hồ dán mỏng lên trên. Khi đưa bức ảnh ra trước chiếc Galaxy S8, ngay lập tức điện thoại đã mở khóa màn hình (xem clip minh họa).

Trước đó, trong một thực nghiệm khác đã được công bố trên thế giới, nhóm nghiên cứu từ Đức cho biết họ phải sử dụng kính áp tròng để mô phỏng độ cong của mắt thật. Tuy nhiên, theo ông Ngô Tuấn Anh thì nghiên cứu của Bkav không cần phải tạo độ cong này, rất đơn giản chỉ với một lớp mỏng hồ nước (loại được dùng phổ biến ở các văn phòng công sở) để phết lên bức ảnh.

Máy ảnh được dùng trong thực nghiệm của Bkav là dòng Sony DSC-V3 sản xuất năm 2004. Nếu không có máy ảnh chụp hồng ngoại, người dùng Galaxy S8 có thể tự thực nghiệm đơn giản theo hướng dẫn sau: Tải ảnh tại địa chỉ này của Bkav, in và bôi một chút hồ dán lên ảnh để chiếc Galaxy S8 "học" và mở khóa với hình ảnh này.

Clip minh họa các bước qua mặt bảo mật mống mắt trên Galaxy S8 bằng máy ảnh hồng ngoại và... hồ dán giấy (nguồn: Bkav)

Chuyên gia Bkav khuyến cáo người dùng nên thận trọng khi sử dụng công nghệ quét mống mắt, nhất là trong những giao dịch cần sự đảm bảo cao như: tài chính, ngân hàng…

Nói thêm về quá trình nghiên cứu, ông Ngô Tuấn Anh cho biết: "Ngay từ khi Samsung giới thiệu về công nghệ bảo mật mống mắt trên Galaxy S8 chúng tôi đã nhận định nó tương tự với công nghệ nhận dạng khuôn mặt được công bố năm 2008 và chắc chắn có thể vượt qua. Thực tế cho thấy chúng tôi đã đúng. Quá trình nghiên cứu, thực nghiệm của Bkav được tiến hành trong hơn 1 tháng".

Tính năng quét mống mắt lần đầu xuất hiện trên điện thoại là hai mẫu Lumia 950/950XL của Microsoft, nhưng phải đến khi Samsung giới thiệu tính năng này trên Galaxy Note7 thì nó mới được chú ý và họ tiếp tục đưa nó lên bộ đôi Galaxy S8/S8 Plus mới đây. Tuy nhiên, sau việc các nhà nghiên cứu nước ngoài và Bkav công bố thực nghiệm "qua mặt" máy quét mống mắt của Galaxy S8 thì độ tin cậy của công nghệ này trên các thiết bị di động đang là một dấu hỏi lớn!

Theo Bkav/vnreview.vn
 
Chỉnh sửa lần cuối:
Đọc bài này và tìm hiểu thêm một chút, thấy ở Việt Nam đang có 2 khái niệm khá phổ biến liên quan là: bảo mật bằng mống mắt và bảo mật bằng võng mạc, không hiểu do các báo công nghệ chưa hiểu sâu nên dịch (từ gốc: Iris Recognition hoặc Iris Scanner) vậy hay sao.

Thực ra 2 cái này rất khác nhau:

vong-mac-mong-mat.jpg

võng mạc - mống mắt

Mình tìm hiểu thấy võng mặc nằm ở phần sâu hơn của mắt, và để quét được võng mạc cần đưa thiết bị vào sát mắt, còn quét mống mắt cần giữ thiết bị và mắt trong khoảng cách từ 25 -35 cm.

image0003.jpg


Hiện nay trên các điện thoại dùng là quét mống mắt, không phải là võng mạc, Lumia 950 hay S7, S8 đều dùng công nghệ này nhưng mình nghĩ là do các bên khác nhau cung cấp. Samsung mua công nghệ của Princeton Identity còn MS thì mình chưa tìm hiểu ra.

Nhưng qua việc những team như CCC hay Bkav đã hack thành công mở khóa bằng mống mắt trên S8 bằng thủ thuật đơn giản mới thấy là Samsung vẫn đang quá tự hào về công nghệ của mình, có lẽ họ còn phải tập trung vào bảo mật nhiều hơn, và biết đâu qua đây lại sắp có 1 bản update lớn cho S8 :))
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf and lochv37
Comment
Hớ hớ, sao mình không thấy thử nghiệm với những người bị cận thị nhỉ? Xem khả năng có mở khóa được qua mắt kính cận không. Chứ chả lẽ những người bị cận mỗi lần cần mở khóa lại phải tháo mắt kính xuống {21}{21}{21}{21}{21}
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Lần trước vụ hack của nhóm ở Đức, Samsung đã phản hồi là chỉ cần 1 bức ảnh trực diện của chủ nhân thì có thể qua mặt được phương thức bảo mật này rồi. Chờ đợi bước đi của Apple và cuộc đua giữa 2 ông lớn này {4}
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bảo mật sinh trắc học (mống mắt, vân tay, giọng nói...) dựa vào đặc điểm độc nhất của con người nhưng với tiến bộ công nghệ ngày nay thì cái gì cũng có thể làm giả {77}. Chắc tốt nhất vẫn là mã hóa dữ liệu, mật khẩu đủ mạnh hoặc các giải pháp xác thực hai bước may ra mới ổn aaaa
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chờ đợi những bảo mật mới và tiên tiến nhất từ Apple {6}{6}{6}
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
hack s8
Bên trên