WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Cảnh báo thủ đoạn ăn cắp mật khẩu mới
Bạn vô tư nhập mật khẩu để mở khóa điện thoại mà không lo lắng ai đó đang dùng camera điện thoại hoặc camera chuyên dụng nhằm quay phim thao tác đó rồi sử dụng phần mềm phân tích video để “đoán” mật khẩu? Vậy hãy cẩn thận với chiêu trò mới này của các hacker.
Trong một nhà hàng, bạn lôi chiếc điện thoại ra để kiểm tra hộp thư. Bạn không nghĩ ngợi gì và điền mã PIN để mở khóa điện thoại, lưng bạn quay vào tường và không ai có thể nhìn thấy. Bạn cho rằng mình an toàn?
Tuy nhiên, các nhà nghiên cứu tại trường Đại học Syracuse cho biết, các hacker có thể đoán số PIN của bạn bằng cách phân tích đoạn video có hình ảnh một người đang nhập mật khẩu trên màn hình điện thoại kể cả khi mật khẩu đó không hiển thị trên màn hình. Phần mềm được sử dụng để phân tích video kiểu này dựa trên công nghệ đo đạc khoảng cách ngón tay trên màn hình điện thoại và đoán phím nào trên màn hình đã được bấm. Theo ông Vir Phoha, kỹ sư kiêm giáo sư chuyên ngành khoa học máy tính tại đại học Syracuse, điều này tương tự như việc đọc khẩu hình miệng. Ông cho biết: “Dựa trên chuyển động của ngón tay và hình dạng của chiếc điện thoại, chúng ta có thể biết được phím nào trên màn hình đã được bấm”.
Hiện chưa có báo cáo nào về trường hợp hacker ăn cắp số PIN theo phương thức này nhưng đó chỉ là vấn đề thời gian. Phoha cho biết: “Chúng tôi tin rằng các hacker sẽ nhanh chóng áp dụng phương thức này để đánh cắp những thông tin riêng tư nhạy cảm”. Công nghệ này khá đơn giản với những ai đã quen thuộc với kỹ năng lập trình. Khi smartphone được sử dụng một cách bùng nổ như ngày nay thì hacker sẽ có hàng triệu mục tiêu để tấn công.
Nhiều người có thói quen sử dụng cùng một mã số PIN cho các dịch vụ như internet banking, quản lý tài khoản. Hacker có thể sử dụng công nghệ này để đọc mã PIN trên ATM, mở cửa gara, cửa nhà vv…
Thử nghiệm của nhóm nghiên cứu
Nhóm nghiên cứu của Syracuse đã tiến hành thử nghiệm với 50 tình nguyện viên. Các tình nguyện viên này được yêu cầu nhập số PIN vào smartphone HTC, mỗi thiết bị sẽ được đặt ở các tư thế và chế độ khác nhau. Việc quay phim được thực hiện bằng chiếc Google Nexus 5 và máy quay phim của Sony. Tất cả các video đều được ghi hình từ mặt bên hoặc mặt sau của chiếc điện thoại, với khoảng cách12 đến 15 feet (từ 3,5 – 4,5 mét). Không video nào quay lại cảnh màn hình điện thoại hoặc quay rõ cảnh người sử dụng gõ phím gì trên màn hình.
Phần mềm đã xử lý tất cả những công việc còn lại. Kết quả thu được rất bất ngờ. Công nghệ phân tích hình ảnh và thuật toán theo dõi chuyển động ngón tay có khả năng “đoán” mã PIN khá hiệu quả. Phần mềm đã đoán chính xác từ 40 – 62% tùy theo chất lượng video và tỉ lệ phóng. Những video chất lượng cao nhất có thể giúp phần mềm đoán mật khẩu chính xác tới 82% trong 5 lần đoán, và với 10 lần đoán tỉ lệ này đã lên tới 94%. Khi sử dụng hơn một video cho mỗi điện thoại thì tỉ lệ thành công còn cao hơn nữa.
Hacker có thể dễ dàng quay video mà người sử dụng không hề hay biết vì họ còn mải uống bia trên quầy bar, ăn uống trong nhà hàng, đang ngồi trên xe buýt, tàu điện, máy bay hoặc ở các trung tâm mua sắm.
Nguy cơ
Muốn đánh cắp các thông tin quan trọng của người dùng, ngoài số PIN ra hacker còn phải thực hiện một số thao tác khác. Để bắt đầu, hacker phải truy cập vào tài khoản ngân hàng hoặc tài khoản tài chính. Chúng có thể làm được việc này bằng cách ăn trộm điện thoại, đăng nhập vào máy với một mã PIN đánh cắp, mở ứng dụng không được bảo vệ bằng mật khẩu bởi người dùng vẫn đinh ninh rằng chỉ cần bảo vệ bằng mã PIN mở khóa màn hình là đủ.
Hacker có thể lấy trộm các thông tin cá nhân của bạn như địa chỉ email, thông tin tài khoản, hoặc thông tin về bạn bè động nghiệp khác bạn tình cờ lưu giữ trên thiết bị.
Không phải chuyện đơn giản
Tuy nhiên, nguy cơ bị hack bởi phương thức này cũng không cao. Dù vậy bạn vẫn cần lưu ý không sử dụng một mã PIN cho nhiều thiết bị hoặc tài khoản. Công nghệ phân tích hình ảnh để hack mã PIN này cũng có nhiều hạn chế. Ví dụ như phần mềm sẽ khó phân tích hình ảnh hơn khi người sử dụng dùng từ hai ngón tay trở lên để gõ mã PIN. Nếu bạn sử dụng toàn bộ bàn phím thay vì 10 ký tự trên màn hình điện thoại, các chữ viết hoa hay kỹ tự đặc biệt thì các hacker sẽ gặp rất nhiều khó khăn nếu muốn hack tài khoản của bạn. Ngoài ra, công nghệ nhận dạng bằng dấu vân tay có thể giải quyết toàn toàn vấn đề tuy nhiên nó chỉ xuất hiện trên một số mẫu điện thoại và cũng không xuất hiện trên các máy ATM hay các thiết bị yêu cầu nhập PIN.
Khắc phục vấn đề
Các nhà sản xuất có thể thiết kế để bàn phím bấm mã mở khóa xuất hiện ở các góc khác nhau trên màn hình mỗi lần truy cập. Ngoài ra, đảo lộn lung tung vị trí của 10 ký tự trên bàn phím mỗi lần nhập PIN cũng là một cách nhưng nó sẽ khiến người sử dụng phát bực.
Trong khi các nhà sản xuất vẫn đang tìm cách khắc phục vấn đề này, chính chúng ta hãy tự bảo vệ mình bằng cách:
- Đặt điện thoại ở những góc khuất khi nhập mã pin hoặc các dữ liệu nhạy cảm,
- Các dòng iPhone và điện thoại Android mới cho phép bạn chọn một mã PIN phức tạp hơn những mã mở khóa 4 ký tự thông thường. Hãy sử dụng chúng,
- Thiết lập chế độ bảo mật hai bước, lập mật khẩu cho các ứng dụng nhạy cảm và đặt chế độ gửi thông báo nhanh nếu ai đó xâm nhập vào tài khoản của bạn,
Đừng chủ quan vì các hacker sẽ sớm nghĩ ra những chiêu trò mới nhanh hơn bạn tưởng đấy.
Theo ICTnews
Tuy nhiên, các nhà nghiên cứu tại trường Đại học Syracuse cho biết, các hacker có thể đoán số PIN của bạn bằng cách phân tích đoạn video có hình ảnh một người đang nhập mật khẩu trên màn hình điện thoại kể cả khi mật khẩu đó không hiển thị trên màn hình. Phần mềm được sử dụng để phân tích video kiểu này dựa trên công nghệ đo đạc khoảng cách ngón tay trên màn hình điện thoại và đoán phím nào trên màn hình đã được bấm. Theo ông Vir Phoha, kỹ sư kiêm giáo sư chuyên ngành khoa học máy tính tại đại học Syracuse, điều này tương tự như việc đọc khẩu hình miệng. Ông cho biết: “Dựa trên chuyển động của ngón tay và hình dạng của chiếc điện thoại, chúng ta có thể biết được phím nào trên màn hình đã được bấm”.
Hiện chưa có báo cáo nào về trường hợp hacker ăn cắp số PIN theo phương thức này nhưng đó chỉ là vấn đề thời gian. Phoha cho biết: “Chúng tôi tin rằng các hacker sẽ nhanh chóng áp dụng phương thức này để đánh cắp những thông tin riêng tư nhạy cảm”. Công nghệ này khá đơn giản với những ai đã quen thuộc với kỹ năng lập trình. Khi smartphone được sử dụng một cách bùng nổ như ngày nay thì hacker sẽ có hàng triệu mục tiêu để tấn công.
Nhiều người có thói quen sử dụng cùng một mã số PIN cho các dịch vụ như internet banking, quản lý tài khoản. Hacker có thể sử dụng công nghệ này để đọc mã PIN trên ATM, mở cửa gara, cửa nhà vv…
Thử nghiệm của nhóm nghiên cứu
Nhóm nghiên cứu của Syracuse đã tiến hành thử nghiệm với 50 tình nguyện viên. Các tình nguyện viên này được yêu cầu nhập số PIN vào smartphone HTC, mỗi thiết bị sẽ được đặt ở các tư thế và chế độ khác nhau. Việc quay phim được thực hiện bằng chiếc Google Nexus 5 và máy quay phim của Sony. Tất cả các video đều được ghi hình từ mặt bên hoặc mặt sau của chiếc điện thoại, với khoảng cách12 đến 15 feet (từ 3,5 – 4,5 mét). Không video nào quay lại cảnh màn hình điện thoại hoặc quay rõ cảnh người sử dụng gõ phím gì trên màn hình.
Phần mềm đã xử lý tất cả những công việc còn lại. Kết quả thu được rất bất ngờ. Công nghệ phân tích hình ảnh và thuật toán theo dõi chuyển động ngón tay có khả năng “đoán” mã PIN khá hiệu quả. Phần mềm đã đoán chính xác từ 40 – 62% tùy theo chất lượng video và tỉ lệ phóng. Những video chất lượng cao nhất có thể giúp phần mềm đoán mật khẩu chính xác tới 82% trong 5 lần đoán, và với 10 lần đoán tỉ lệ này đã lên tới 94%. Khi sử dụng hơn một video cho mỗi điện thoại thì tỉ lệ thành công còn cao hơn nữa.
Hacker có thể dễ dàng quay video mà người sử dụng không hề hay biết vì họ còn mải uống bia trên quầy bar, ăn uống trong nhà hàng, đang ngồi trên xe buýt, tàu điện, máy bay hoặc ở các trung tâm mua sắm.
Nguy cơ
Muốn đánh cắp các thông tin quan trọng của người dùng, ngoài số PIN ra hacker còn phải thực hiện một số thao tác khác. Để bắt đầu, hacker phải truy cập vào tài khoản ngân hàng hoặc tài khoản tài chính. Chúng có thể làm được việc này bằng cách ăn trộm điện thoại, đăng nhập vào máy với một mã PIN đánh cắp, mở ứng dụng không được bảo vệ bằng mật khẩu bởi người dùng vẫn đinh ninh rằng chỉ cần bảo vệ bằng mã PIN mở khóa màn hình là đủ.
Hacker có thể lấy trộm các thông tin cá nhân của bạn như địa chỉ email, thông tin tài khoản, hoặc thông tin về bạn bè động nghiệp khác bạn tình cờ lưu giữ trên thiết bị.
Không phải chuyện đơn giản
Tuy nhiên, nguy cơ bị hack bởi phương thức này cũng không cao. Dù vậy bạn vẫn cần lưu ý không sử dụng một mã PIN cho nhiều thiết bị hoặc tài khoản. Công nghệ phân tích hình ảnh để hack mã PIN này cũng có nhiều hạn chế. Ví dụ như phần mềm sẽ khó phân tích hình ảnh hơn khi người sử dụng dùng từ hai ngón tay trở lên để gõ mã PIN. Nếu bạn sử dụng toàn bộ bàn phím thay vì 10 ký tự trên màn hình điện thoại, các chữ viết hoa hay kỹ tự đặc biệt thì các hacker sẽ gặp rất nhiều khó khăn nếu muốn hack tài khoản của bạn. Ngoài ra, công nghệ nhận dạng bằng dấu vân tay có thể giải quyết toàn toàn vấn đề tuy nhiên nó chỉ xuất hiện trên một số mẫu điện thoại và cũng không xuất hiện trên các máy ATM hay các thiết bị yêu cầu nhập PIN.
Các nhà sản xuất có thể thiết kế để bàn phím bấm mã mở khóa xuất hiện ở các góc khác nhau trên màn hình mỗi lần truy cập. Ngoài ra, đảo lộn lung tung vị trí của 10 ký tự trên bàn phím mỗi lần nhập PIN cũng là một cách nhưng nó sẽ khiến người sử dụng phát bực.
Trong khi các nhà sản xuất vẫn đang tìm cách khắc phục vấn đề này, chính chúng ta hãy tự bảo vệ mình bằng cách:
- Đặt điện thoại ở những góc khuất khi nhập mã pin hoặc các dữ liệu nhạy cảm,
- Các dòng iPhone và điện thoại Android mới cho phép bạn chọn một mã PIN phức tạp hơn những mã mở khóa 4 ký tự thông thường. Hãy sử dụng chúng,
- Thiết lập chế độ bảo mật hai bước, lập mật khẩu cho các ứng dụng nhạy cảm và đặt chế độ gửi thông báo nhanh nếu ai đó xâm nhập vào tài khoản của bạn,
Đừng chủ quan vì các hacker sẽ sớm nghĩ ra những chiêu trò mới nhanh hơn bạn tưởng đấy.
Theo ICTnews