WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Dấu vân tay - lỗ hổng lớn nhất của smartphone
Nhiều người xem dấu vân tay là cách nhanh chóng nhất để mở khóa smartphone của mình, nhưng đó lại chính là lỗ hổng lớn nhất cho vấn đề an ninh trên smartphone hiện nay.
Máy quét vân tay dễ bị lừa
Theo The Verge, nhiều thí nghiệm cho thấy các lỗ hổng an ninh đến từ dấu vân tay. Một nhà nghiên cứu tại CITER đã tạo ra một mẫu in 3D của dấu vân tay được tạo ra từ một hình ảnh lưu trữ mà không phải từ ngón tay thật, nhưng cũng đủ để đánh lừa máy quét dấu vân tay trên smartphone. Còn tại hội nghị CCC vào năm 2014, một nhà nghiên cứu an ninh có tên Starbug đã sử dụng kỹ thuật tạo ra mô hình dấu vân tay Bộ trưởng Quốc phòng Đức, dựa trên bức ảnh độ phân giải cao bàn tay của vị tướng này.
Gần đây hơn, một thí nghiệm đã chứng minh về khả năng mở khóa smartphone một cách nhanh chóng bằng một dấu vân tay giả được làm từ bột đất sét, cho phép đột nhập vào iPhone 6 hoặc Galaxy S6 edge một cách nhanh chóng.
Mặc dù phương pháp này chỉ hoạt động nếu có một bản in dấu vân tay truy cập smartphone từ người được cấp quyền, nhưng để làm điều này không phải là quá khó khăn.
Tất cả những điều trên cho thấy có mối lo ngại nhất định cho thời đại an ninh ngày nay. Máy quét dấu vân tay hiện đang là một phần thiết yếu của một chiếc smartphone hiện đại, và trong nhiều trường hợp chúng làm cho việc truy cập ứng dụng trở nên an toàn hơn. Vấn đề là, dấu vân tay có thể bị đánh cắp. Không giống như mật mã, bạn không thể thay đổi dấu vân tay, do đó một hành vi ăn cắp dấu vân tay sẽ tạo ra lỗ hổng để truy cập vào các thiết bị đã được bảo vệ.
Dấu vân tay có thể ăn cắp dễ dàng
Trở lại với vụ khủng bố ở San Bernardino, nơi Cục Điều tra Liên bang Mỹ (FBI) tìm cách để mở khóa iPhone của thủ phạm Farook (đã chết), mà trong trường hợp này là iPhone 5C, chiếc iPhone cuối cùng không có đầu đọc dấu vân tay. Mọi thứ được cho là dễ dàng hơn với FBI nếu như iPhone 5C được bảo vệ bởi dấu vân tay của Farook, bởi khi đó FBI chỉ đơn giản là đưa điện thoại tới nhà xác và đặt ngón tay của Farook lên Touch ID để mở khóa.
Điều này thậm chí có thể thực hiện khi đối tượng còn sống và tỏ thái độ bất hợp tác. Điển hình đó là vụ án xảy ra ở Los Angeles mới đây, khi một thẩm phán đã ban hành lệnh buộc một nữ nghi phạm đặt ngón tay vào điện thoại đã bị tịch thu nhằm mở khóa máy.
Thậm chí, nếu dữ liệu của nghi phạm được lưu trữ trong cơ quan chính phủ, khuôn in 3D sẽ cho phép tạo ra bất kỳ hình ảnh dấu vân tay để mở khóa. Điều này là hoàn toàn có cơ sở, bởi chính sách an ninh nội địa của Mỹ yêu cầu thu thập dấu vân tay của người dân ngoài nước Mỹ trong độ tuổi từ 14 đến 79 khi họ bước chân vào đất nước này, cùng với một số lượng ngày càng tăng của dấu vân tay lấy từ những người nhập cư, cơ sở dữ liệu dấu vân tay mà chính phủ Mỹ đang lưu trữ là rất lớn.
The Verge cho biết, FBI hiện lưu trữ cơ sở dữ liệu của khoảng hơn 100 triệu bản ghi dấu vân tay. Trong khi đó, Bộ Quốc phòng Mỹ cũng đã duy trì cơ sở dữ liệu của rất nhiều dấu vân tay được thu thập bởi các sĩ quan quân sự trên toàn thế giới. Những dữ liệu này thường được sử dụng để xác minh danh tính, nhưng giờ đây không có lý do gì để họ không sử dụng nó phục vụ việc kích hoạt một đầu đọc dấu vân tay khi cần thiết.
Và nguy hiểm hơn nữa, dữ liệu dấu vân tay sẽ dễ bị rò rỉ giống như mật khẩu, thẻ tín dụng hay số an sinh xã hội. Thậm chí, kẻ gian có thể lấy dữ liệu dấu vân tay in trên các vật dụng, hoặc thậm chí từ các bức ảnh có độ phân giải cao. Đối với kẻ gian, một dấu vân tay dễ dàng lấy cắp hơn so với một mật khẩu, bởi nó có thể xuất hiện trên cơ thể chủ nhân mọi lúc, và chúng ta sẽ để lại dấu vân tay mỗi khi chạm vào một bề mặt phẳng. Dĩ nhiên, kẻ gian sẽ còn gặp nhiều rắc rối hơn so với những gì chúng ta nghĩ, nhưng một khi mọi người trao thông tin đăng nhập vào dấu vân tay, đó là cách thức mà chúng sẽ hướng đến phổ biến hơn.
Mật khẩu đăng nhập vẫn an toàn nhất
Ngay cả với máy quét vân tay trên hầu hết điện thoại, sinh trắc học vẫn còn một chặng đường dài để trở thành phương pháp chính cho phép truy cập vào thiết bị. Các nhà phân tích ước tính, ít hơn 15% thông tin đăng nhập iPhone được thực hiện với Touch ID, và nhiều điện thoại khác chỉ đơn giản là không trang bị máy quét dấu vân tay. Đối với những chiếc điện thoại này, kho lưu trữ dấu vân tay của cơ quan chính phủ sẽ trở nên vô dụng. Nhưng đối với những người dùng đã thiết lập đăng nhập bằng dấu vân tay, họ đang cung cấp cơ hội dễ dàng truy cập thiết bị cho cảnh sát, như trường hợp vụ án ở Los Angeles mới đây.
Dù thế nào đi chăng nữa, máy quét dấu vân tay sẽ mở ra một kỷ nguyên mới của an ninh di động. Tuy nhiên, công nghệ này vẫn cần phải cải tiến thêm nhiều trong tương lai.
Theo Thanh Niên
Máy quét vân tay dễ bị lừa
Theo The Verge, nhiều thí nghiệm cho thấy các lỗ hổng an ninh đến từ dấu vân tay. Một nhà nghiên cứu tại CITER đã tạo ra một mẫu in 3D của dấu vân tay được tạo ra từ một hình ảnh lưu trữ mà không phải từ ngón tay thật, nhưng cũng đủ để đánh lừa máy quét dấu vân tay trên smartphone. Còn tại hội nghị CCC vào năm 2014, một nhà nghiên cứu an ninh có tên Starbug đã sử dụng kỹ thuật tạo ra mô hình dấu vân tay Bộ trưởng Quốc phòng Đức, dựa trên bức ảnh độ phân giải cao bàn tay của vị tướng này.
Gần đây hơn, một thí nghiệm đã chứng minh về khả năng mở khóa smartphone một cách nhanh chóng bằng một dấu vân tay giả được làm từ bột đất sét, cho phép đột nhập vào iPhone 6 hoặc Galaxy S6 edge một cách nhanh chóng.
Mặc dù phương pháp này chỉ hoạt động nếu có một bản in dấu vân tay truy cập smartphone từ người được cấp quyền, nhưng để làm điều này không phải là quá khó khăn.
Tất cả những điều trên cho thấy có mối lo ngại nhất định cho thời đại an ninh ngày nay. Máy quét dấu vân tay hiện đang là một phần thiết yếu của một chiếc smartphone hiện đại, và trong nhiều trường hợp chúng làm cho việc truy cập ứng dụng trở nên an toàn hơn. Vấn đề là, dấu vân tay có thể bị đánh cắp. Không giống như mật mã, bạn không thể thay đổi dấu vân tay, do đó một hành vi ăn cắp dấu vân tay sẽ tạo ra lỗ hổng để truy cập vào các thiết bị đã được bảo vệ.
Dấu vân tay có thể ăn cắp dễ dàng
Trở lại với vụ khủng bố ở San Bernardino, nơi Cục Điều tra Liên bang Mỹ (FBI) tìm cách để mở khóa iPhone của thủ phạm Farook (đã chết), mà trong trường hợp này là iPhone 5C, chiếc iPhone cuối cùng không có đầu đọc dấu vân tay. Mọi thứ được cho là dễ dàng hơn với FBI nếu như iPhone 5C được bảo vệ bởi dấu vân tay của Farook, bởi khi đó FBI chỉ đơn giản là đưa điện thoại tới nhà xác và đặt ngón tay của Farook lên Touch ID để mở khóa.
Điều này thậm chí có thể thực hiện khi đối tượng còn sống và tỏ thái độ bất hợp tác. Điển hình đó là vụ án xảy ra ở Los Angeles mới đây, khi một thẩm phán đã ban hành lệnh buộc một nữ nghi phạm đặt ngón tay vào điện thoại đã bị tịch thu nhằm mở khóa máy.
Thậm chí, nếu dữ liệu của nghi phạm được lưu trữ trong cơ quan chính phủ, khuôn in 3D sẽ cho phép tạo ra bất kỳ hình ảnh dấu vân tay để mở khóa. Điều này là hoàn toàn có cơ sở, bởi chính sách an ninh nội địa của Mỹ yêu cầu thu thập dấu vân tay của người dân ngoài nước Mỹ trong độ tuổi từ 14 đến 79 khi họ bước chân vào đất nước này, cùng với một số lượng ngày càng tăng của dấu vân tay lấy từ những người nhập cư, cơ sở dữ liệu dấu vân tay mà chính phủ Mỹ đang lưu trữ là rất lớn.
The Verge cho biết, FBI hiện lưu trữ cơ sở dữ liệu của khoảng hơn 100 triệu bản ghi dấu vân tay. Trong khi đó, Bộ Quốc phòng Mỹ cũng đã duy trì cơ sở dữ liệu của rất nhiều dấu vân tay được thu thập bởi các sĩ quan quân sự trên toàn thế giới. Những dữ liệu này thường được sử dụng để xác minh danh tính, nhưng giờ đây không có lý do gì để họ không sử dụng nó phục vụ việc kích hoạt một đầu đọc dấu vân tay khi cần thiết.
Và nguy hiểm hơn nữa, dữ liệu dấu vân tay sẽ dễ bị rò rỉ giống như mật khẩu, thẻ tín dụng hay số an sinh xã hội. Thậm chí, kẻ gian có thể lấy dữ liệu dấu vân tay in trên các vật dụng, hoặc thậm chí từ các bức ảnh có độ phân giải cao. Đối với kẻ gian, một dấu vân tay dễ dàng lấy cắp hơn so với một mật khẩu, bởi nó có thể xuất hiện trên cơ thể chủ nhân mọi lúc, và chúng ta sẽ để lại dấu vân tay mỗi khi chạm vào một bề mặt phẳng. Dĩ nhiên, kẻ gian sẽ còn gặp nhiều rắc rối hơn so với những gì chúng ta nghĩ, nhưng một khi mọi người trao thông tin đăng nhập vào dấu vân tay, đó là cách thức mà chúng sẽ hướng đến phổ biến hơn.
Mật khẩu đăng nhập vẫn an toàn nhất
Ngay cả với máy quét vân tay trên hầu hết điện thoại, sinh trắc học vẫn còn một chặng đường dài để trở thành phương pháp chính cho phép truy cập vào thiết bị. Các nhà phân tích ước tính, ít hơn 15% thông tin đăng nhập iPhone được thực hiện với Touch ID, và nhiều điện thoại khác chỉ đơn giản là không trang bị máy quét dấu vân tay. Đối với những chiếc điện thoại này, kho lưu trữ dấu vân tay của cơ quan chính phủ sẽ trở nên vô dụng. Nhưng đối với những người dùng đã thiết lập đăng nhập bằng dấu vân tay, họ đang cung cấp cơ hội dễ dàng truy cập thiết bị cho cảnh sát, như trường hợp vụ án ở Los Angeles mới đây.
Dù thế nào đi chăng nữa, máy quét dấu vân tay sẽ mở ra một kỷ nguyên mới của an ninh di động. Tuy nhiên, công nghệ này vẫn cần phải cải tiến thêm nhiều trong tương lai.
Theo Thanh Niên