Trái ngược với Face ID dùng trên iPhone, các thiết bị Android lại chuộng bảo mật vân tay. Tuy nhiên phương thức bảo mật này có thực sự an toàn?
Bảo mật vân tay trên Android có thực sự an toàn?
Câu trả lời cho vấn đề này có thể phụ thuộc vào cách bạn muốn mở khóa điện thoại được bảo vệ bằng dấu vân tay. Nếu bạn đang cố mở khóa bằng dấu vân tay chưa được đăng ký trên smartphone, thì câu trả lời là có. Điều gì sẽ xảy ra nếu bạn cố mở khóa bằng công cụ hack? Điều đó sẽ khá khó khăn và tốn kém. Trên thực tế, kẻ xấu có thể xâm nhập thiết bị của bạn bằng công cụ này chỉ với 15 USD.
Mới đây, các nhà nghiên cứu Yu Chen từ Tencent Labs và Yiling He từ Đại học Chiết Giang (Trung Quốc) đã chỉ ra rằng có hai lỗ hổng chưa được biết đến trong hầu hết các smartphone. Những lỗ hổng này nằm trong hệ thống xác thực dấu vân tay và chúng được gọi là lỗ hổng zero-day, chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục.
Bằng cách lợi dụng những lỗ hổng này, chúng có thể khởi động một cuộc tấn công gọi là tấn công BrutePrint để mở khóa hầu hết mọi máy quét dấu vân tay trên smartphone. “BrutePrint” là sự kết hợp giữa phương thức “Brute Force Attack” và “Fingerprinting”, có thể được sử dụng để gửi số lượng dấu vân tay không giới hạn tới cảm biến của thiết bị cho đến khi tìm ra một dấu vân tay khớp với chủ nhân của thiết bị đã bị xâm phạm.
Tất cả các biện pháp bảo vệ dấu vân tay trên điện thoại thông minh đều có số lần thử hạn chế, nhưng cuộc tấn công BrutePrint có thể vượt qua giới hạn này. Trên thực tế, trình xác thực vân tay không yêu cầu chính xác 100% khi người dùng quét vân tay và dữ liệu vân tay được lưu trữ trong máy. Thay vào đó, nó sử dụng ngưỡng để xác định xem đầu vào có gần khớp hay không. Điều này có nghĩa là, bất kỳ hệ thống độc hại nào cũng có thể lợi dụng và cố gắng khớp dữ liệu vân tay được lưu trữ. Tất cả những gì họ phải làm là có thể vượt qua giới hạn đặt ra cho các lần thử dấu vân tay.
Điều đáng sợ là trong thử nghiệm, ngay khi các nhà nghiên cứu kích hoạt xâm nhập, chỉ mất chưa đầy một giờ, nó đã mở khóa từng thiết bị. Sau khi thiết bị được mở khóa, họ cũng có thể sử dụng nó để ủy quyền thanh toán.
Vì sao iPhone vẫn an toàn?
Các nhà nghiên cứu đã thử nghiệm tám smartphone Android khác nhau và hai chiếc iPhone. Các điện thoại Android bao gồm Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G và Huawei P40. Các iPhone bao gồm iPhone SE và iPhone 7.
Thời gian cần thiết để mở khóa từng điện thoại cũng khác nhau. Trong khi OPPO chẳng hạn mất khoảng 40 phút để mở khóa, thì Samsung Galaxy S10+ mất khoảng 73 phút đến 2,9 giờ để mở khóa. Smartphone Android khó mở khóa nhất là Mi 11 Ultra, mất khoảng 2,78 đến 13,89 giờ để mở khóa.
Các nhà nghiên cứu đều thất bại khi cố gắng mở khóa iPhone. Điều này không thực sự có nghĩa là dấu vân tay của Android yếu hơn của iPhone. Đó là do Apple mã hóa dữ liệu của người dùng trên iPhone. Với dữ liệu được mã hóa, cuộc tấn công BrutePrint không thể truy cập vào cơ sở dữ liệu dấu vân tay trên iPhone. Do đó, không có cách nào hình thức tấn công này có thể mở khóa dấu vân tay của iPhone.
Mặc dù đáng lo ngại, nhưng các nhà nghiên cứu cho rằng đây là một cách khai thác mới và chưa có dấu hiệu nó từng xảy ra trong thực tế. Theo nghiên cứu này, Yu Chen và Yiling đã đưa ra một số khuyến nghị rằng Google mã hóa tất cả dữ liệu được gửi giữa máy quét dấu vân tay và chipset. Bên cạnh đó, các nhà phát triển ứng dụng nên hạn chế số lần cho phép quét vân tay sai.
Trên đây là thông tin về bảo mật vân tay. Thông tin trên đều được Hoàng Hà Mobile tổng hợp. Đừng quên theo dõi Hoàng Hà Mobile để cập nhật các tin tức công nghệ mới nhất nhé!
Tham gia Hoàng Hà Mobile Group để cập nhật những chương trình và ưu đãi sớm nhất
Xem thêm: Tóm tắt Far Out – Apple Watch Ultra quá đỉnh, iPhone “viên thuốc” gây choáng
Cùng Follow kênh Youtube của Hoàng Hà Mobile để cập nhật những tin tức mới nhất, sinh động nhất nhé!
