Với ngân sách chỉ khoảng 2.000 USD, các nhà nghiên cứu có thể đánh lừa các cảm biến sinh trắc học vân tay trong 80% tổng số lần thử.
Đã gần một thập kỷ trôi qua kể từ khi các cảm biến vân tay nổi lên như một cơ chế mở khóa nhanh gọn và đơn giản dành cho smartphone và laptop. Cũng trong thời gian đó, nhiều loại hình tấn công nhằm đánh bại những cảm biến này đã được đưa ra, dù rằng hầu hết trong số chúng đều không mang tính thực tế cao với hầu hết mọi người, trừ những hacker với mục tiêu rõ ràng và nguồn tài chính dồi dào. Nhưng một nghiên cứu mới đây cho thấy trang thiết bị cần để tạo ra những dấu vân tay giả có độ chính xác cao, có khả năng vượt qua hàng rào bảo mật của các thiết bị, hiện đã rẻ đi đáng kể.
Theo trang tin Wired, các nhà nghiên cứu đến từ Cisco Talos đã đạt được tỉ lệ thành công trung bình lên đến 80% trong việc đánh bại các cảm biến vân tay trên hàng chục thiết bị khác nhau. Mọi thứ họ cần chỉ là một máy in 3D để tạo ra dấu vân tay giả, và một số tiền chưa đến 2.000 USD. Các nhà nghiên cứu nhấn mạnh rằng khóa vân tay vẫn là một giải pháp bảo vệ hiệu quả trước các cuộc tấn công nguy hiểm mà hầu hết người dùng phải đối mặt, bởi để mở khóa vân tay, bạn buộc phải có…vân tay (tất nhiên rồi) và đang cầm thiết bị trên tay.
"Bạn không cần có một lượng tiền lớn mới vượt qua hệ thống xác thực vân tay của hầu hết các hãng sản xuất" – Craig Williams, người điều hành Talos, nói. "Việc công nghệ in 3D tại nhà hiện nay đã đạt đến được độ phân giải đủ khiến vân tay trở nên kém bảo mật hơn so với 10 năm trước là một vấn đề đáng quan ngại, bởi mọi người đều có thể tiếp cận được những máy in này. Nhưng chuyện vẫn không dễ dàng. Bạn vẫn cần nhiều nỗ lực và khả năng để thu thập được dấu vân tay".
Các nhà nghiên cứu đã thử 3 tình huống thu thập dấu vân tay khác nhau. Đầu tiên là thu thập trực tiếp, tức dùng khuôn đúc nên vân tay của đối tượng. Tình huống thứ hai sử dụng dữ liệu cảm biến thu thập từ một máy quét như ở các khu vực cửa khẩu. Và tình huống thứ ba là lấy dấu vân tay từ các vật thể khác mà đối tượng nắm giữ, như một chai rượu chẳng hạn.
Để làm khuôn, các nhà nghiên cứu đã sử dụng một máy in 3D cực tím tương đối rẻ có khả năng xử lý phần nhựa nó tạo hình được bằng ánh sáng cực tím. Sau đó họ thử nghiệm một loạt các chất liệu, như silicone, nhằm tạo ra bản in hoàn thiện. Khá ngạc nhiên là bản in với chất liệu keo vải lại có tỉ lệ thành công cao nhất.
Để làm các dấu vân tay có tính điện dung, cho phép các cảm biến nhận diện chúng như những ngón tay thật, các nhà nghiên cứu đã thiết kế chúng như những tay áo nhỏ mà bất kỳ ai cũng có thể đeo lên ngón tay thật của họ, về cơ bản tạo nên một dấu vân tay cải trang.
Nhìn chung, phát hiện lần này cho thấy những thỏa hiệp giữa bảo mật và tính tiện dụng mà các nhà sản xuất cảm biến vân tay tiêu dùng phải thực hiện. Nếu một cảm biến được thiết lập sao cho khả năng kháng vân tay giả hiệu quả nhất, đôi lúc, nó cũng sẽ từ chối những nỗ lực mở khóa thiết bị của chính người chủ sở hữu. Trên những thiết bị như smartphone hay laptop, sự khó chịu đó có thể khiến người dùng bỏ qua tính năng này hoàn toàn. Ngược lại, một cảm biến quá dễ dãi sẽ cho phép lũ nhóc nhà bạn dễ dàng mở khóa tablet của bố mẹ. Hoặc tệ hơn nữa.
Một dấu vân tay in 3D từng được cảnh sát Mỹ sử dụng để mở khóa thiết bị
Một thiết bị có giá bán cao không đồng nghĩa cảm biến vân tay của nó sẽ "xịn". Các nhà nghiên cứu không thể đánh lừa mẫu smartphone tầm trung Samsung Galaxy A70 – đôi lúc thiết bị còn từ chối cả ngón tay thật nữa – nhưng họ lại liên tục bẻ khóa được vào flagship Sasung Galaxy S10. Họ không thể đánh lừa được Windows Hello trên Windows 10, nhưng qua mặt được Touch ID của MacBook Pro. Trên MacBook Pro 2018, nhóm nghiên cứu đã đạt tỉ lệ thành công đến 95% với một bản in từ phương pháp thu thập trực tiếp, 93% với bản in tạo ra bằng dữ liệu vân tay lấy từ máy quét, và 60% với bản in làm từ vân tay lấy cắp. Tuy nhiên, các nhà nghiên cứu nói rằng việc Apple giới hạn số lượt quét vân tay ở con số 5 thực sự là một biện pháp bảo vệ hữu hiệu chống lại những loại hình tấn công như vậy. Nếu các nhà nghiên cứu không biết các chân cắm dự phòng của thiết bị đang tìm cách bẻ khóa, họ sẽ không có đủ số lần thực hiện để đạt được tỉ lệ thành công cao đến vậy.
Các nhà nghiên cứu đã tiết lộ những phát hiện của họ cho các nhà sản xuất thiết bị, nhưng cũng nói rằng họ không xem những vấn đề vừa phát hiện như những lỗ hổng chưa từng biết trước đây. Theo các nhà nghiên cứu thì công trình của họ được thựa hiện dựa trên những hạn chế đã biết của cơ chế quét vân tay và nêu bật lên sự cần thiết phải tiếp tục xem xét kỹ càng hơn nữa. Ví dụ, vào năm 2016, các nhà nghiên cứu từ Đại học bang Michigan đã giúp FBI mở khóa một chiếc Samsung Galaxy S6 của một người đã mất bằng cách tái hiện lại dấu vân tay của người đó. Và việc lực lượng hành pháp có thể tìm cách truy xuất vào thiết bị chính là yếu tố lớn nhất mà người dùng thông thường cần cân nhắc khi lựa chọn một phương thức khóa thiết bị. Tại Mỹ, tiền lệ pháp liên quan việc lực lượng hành pháp có thể buộc một nghi phạm phải mở khóa thiết bị bằng vân tay họ hay không vẫn còn nhiều tranh cãi. Nhưng trong một loạt các vụ án, các thẩm phán đã đưa ra quyết định cưỡng ép giải mã thiết bị. Đến thời điểm hiện tại, những người ủng hộ quyền riêng tư nói rằng bạn sẽ khó bị buộc phải mở khóa thiết bị cho lực lượng hành pháp nếu nó được bảo vệ bằng mật mã thay vì sinh trắc học.
"Tôi nghĩ các cảm biến vân trên các smartphone tiêu dùng đề cao tính tiện dụng hơn" – Lukasz Olejnik, một nhà nghiên cứu và tư vấn an ninh mạng độc lập nói. "Chúng còn tốt hơn nhiều so với việc không có giải pháp khóa máy nào. Nhưng mã PIN mạnh nhìn chung sẽ bảo mật hơn".
Đối với các hacker, người dùng thông thường nhiều khả năng chẳng phải là một mục tiêu đáng để chúng bỏ công sức ra tấn công bẻ khóa vân tay. Nhưng bất kỳ ai có thể là mục tiêu của những kẻ tấn công với nguồn lực dồi dào và có động cơ rõ ràng cũng nên cân nhắc khóa thiết bị bằng mật mã hoặc phương thức nhận dạng khuôn mặt thay vì vân tay. Và khi mà những công nghệ có khả năng đánh bại các cảm biến vân tay ngày một phát triển hơn, cả ngành công nghiệp có lẽ sẽ cần tái cân nhắc phương thức bảo mật này.
"Chúng tôi có thể tạo ra những bản in vân tay mở khóa được hầu hết các cảm biến vân tay của các nhà sản xuất" – William nói. "Với hầu hết người dùng, xác thực vân tay hiện vẫn tốt. Nhưng bạn nên biết rằng trong vài năm tới, khi công nghệ in 3D trở nên tiên tiến hơn, những phương thức sinh trắc học này sẽ trở thành một thứ mà ngay cả người dùng thông thường cũng nên tránh xa".
Đã gần một thập kỷ trôi qua kể từ khi các cảm biến vân tay nổi lên như một cơ chế mở khóa nhanh gọn và đơn giản dành cho smartphone và laptop. Cũng trong thời gian đó, nhiều loại hình tấn công nhằm đánh bại những cảm biến này đã được đưa ra, dù rằng hầu hết trong số chúng đều không mang tính thực tế cao với hầu hết mọi người, trừ những hacker với mục tiêu rõ ràng và nguồn tài chính dồi dào. Nhưng một nghiên cứu mới đây cho thấy trang thiết bị cần để tạo ra những dấu vân tay giả có độ chính xác cao, có khả năng vượt qua hàng rào bảo mật của các thiết bị, hiện đã rẻ đi đáng kể.
Theo trang tin Wired, các nhà nghiên cứu đến từ Cisco Talos đã đạt được tỉ lệ thành công trung bình lên đến 80% trong việc đánh bại các cảm biến vân tay trên hàng chục thiết bị khác nhau. Mọi thứ họ cần chỉ là một máy in 3D để tạo ra dấu vân tay giả, và một số tiền chưa đến 2.000 USD. Các nhà nghiên cứu nhấn mạnh rằng khóa vân tay vẫn là một giải pháp bảo vệ hiệu quả trước các cuộc tấn công nguy hiểm mà hầu hết người dùng phải đối mặt, bởi để mở khóa vân tay, bạn buộc phải có…vân tay (tất nhiên rồi) và đang cầm thiết bị trên tay.
"Bạn không cần có một lượng tiền lớn mới vượt qua hệ thống xác thực vân tay của hầu hết các hãng sản xuất" – Craig Williams, người điều hành Talos, nói. "Việc công nghệ in 3D tại nhà hiện nay đã đạt đến được độ phân giải đủ khiến vân tay trở nên kém bảo mật hơn so với 10 năm trước là một vấn đề đáng quan ngại, bởi mọi người đều có thể tiếp cận được những máy in này. Nhưng chuyện vẫn không dễ dàng. Bạn vẫn cần nhiều nỗ lực và khả năng để thu thập được dấu vân tay".
Các nhà nghiên cứu đã thử 3 tình huống thu thập dấu vân tay khác nhau. Đầu tiên là thu thập trực tiếp, tức dùng khuôn đúc nên vân tay của đối tượng. Tình huống thứ hai sử dụng dữ liệu cảm biến thu thập từ một máy quét như ở các khu vực cửa khẩu. Và tình huống thứ ba là lấy dấu vân tay từ các vật thể khác mà đối tượng nắm giữ, như một chai rượu chẳng hạn.
Để làm khuôn, các nhà nghiên cứu đã sử dụng một máy in 3D cực tím tương đối rẻ có khả năng xử lý phần nhựa nó tạo hình được bằng ánh sáng cực tím. Sau đó họ thử nghiệm một loạt các chất liệu, như silicone, nhằm tạo ra bản in hoàn thiện. Khá ngạc nhiên là bản in với chất liệu keo vải lại có tỉ lệ thành công cao nhất.
Để làm các dấu vân tay có tính điện dung, cho phép các cảm biến nhận diện chúng như những ngón tay thật, các nhà nghiên cứu đã thiết kế chúng như những tay áo nhỏ mà bất kỳ ai cũng có thể đeo lên ngón tay thật của họ, về cơ bản tạo nên một dấu vân tay cải trang.
Nhìn chung, phát hiện lần này cho thấy những thỏa hiệp giữa bảo mật và tính tiện dụng mà các nhà sản xuất cảm biến vân tay tiêu dùng phải thực hiện. Nếu một cảm biến được thiết lập sao cho khả năng kháng vân tay giả hiệu quả nhất, đôi lúc, nó cũng sẽ từ chối những nỗ lực mở khóa thiết bị của chính người chủ sở hữu. Trên những thiết bị như smartphone hay laptop, sự khó chịu đó có thể khiến người dùng bỏ qua tính năng này hoàn toàn. Ngược lại, một cảm biến quá dễ dãi sẽ cho phép lũ nhóc nhà bạn dễ dàng mở khóa tablet của bố mẹ. Hoặc tệ hơn nữa.
Một dấu vân tay in 3D từng được cảnh sát Mỹ sử dụng để mở khóa thiết bị
Một thiết bị có giá bán cao không đồng nghĩa cảm biến vân tay của nó sẽ "xịn". Các nhà nghiên cứu không thể đánh lừa mẫu smartphone tầm trung Samsung Galaxy A70 – đôi lúc thiết bị còn từ chối cả ngón tay thật nữa – nhưng họ lại liên tục bẻ khóa được vào flagship Sasung Galaxy S10. Họ không thể đánh lừa được Windows Hello trên Windows 10, nhưng qua mặt được Touch ID của MacBook Pro. Trên MacBook Pro 2018, nhóm nghiên cứu đã đạt tỉ lệ thành công đến 95% với một bản in từ phương pháp thu thập trực tiếp, 93% với bản in tạo ra bằng dữ liệu vân tay lấy từ máy quét, và 60% với bản in làm từ vân tay lấy cắp. Tuy nhiên, các nhà nghiên cứu nói rằng việc Apple giới hạn số lượt quét vân tay ở con số 5 thực sự là một biện pháp bảo vệ hữu hiệu chống lại những loại hình tấn công như vậy. Nếu các nhà nghiên cứu không biết các chân cắm dự phòng của thiết bị đang tìm cách bẻ khóa, họ sẽ không có đủ số lần thực hiện để đạt được tỉ lệ thành công cao đến vậy.
Các nhà nghiên cứu đã tiết lộ những phát hiện của họ cho các nhà sản xuất thiết bị, nhưng cũng nói rằng họ không xem những vấn đề vừa phát hiện như những lỗ hổng chưa từng biết trước đây. Theo các nhà nghiên cứu thì công trình của họ được thựa hiện dựa trên những hạn chế đã biết của cơ chế quét vân tay và nêu bật lên sự cần thiết phải tiếp tục xem xét kỹ càng hơn nữa. Ví dụ, vào năm 2016, các nhà nghiên cứu từ Đại học bang Michigan đã giúp FBI mở khóa một chiếc Samsung Galaxy S6 của một người đã mất bằng cách tái hiện lại dấu vân tay của người đó. Và việc lực lượng hành pháp có thể tìm cách truy xuất vào thiết bị chính là yếu tố lớn nhất mà người dùng thông thường cần cân nhắc khi lựa chọn một phương thức khóa thiết bị. Tại Mỹ, tiền lệ pháp liên quan việc lực lượng hành pháp có thể buộc một nghi phạm phải mở khóa thiết bị bằng vân tay họ hay không vẫn còn nhiều tranh cãi. Nhưng trong một loạt các vụ án, các thẩm phán đã đưa ra quyết định cưỡng ép giải mã thiết bị. Đến thời điểm hiện tại, những người ủng hộ quyền riêng tư nói rằng bạn sẽ khó bị buộc phải mở khóa thiết bị cho lực lượng hành pháp nếu nó được bảo vệ bằng mật mã thay vì sinh trắc học.
"Tôi nghĩ các cảm biến vân trên các smartphone tiêu dùng đề cao tính tiện dụng hơn" – Lukasz Olejnik, một nhà nghiên cứu và tư vấn an ninh mạng độc lập nói. "Chúng còn tốt hơn nhiều so với việc không có giải pháp khóa máy nào. Nhưng mã PIN mạnh nhìn chung sẽ bảo mật hơn".
Đối với các hacker, người dùng thông thường nhiều khả năng chẳng phải là một mục tiêu đáng để chúng bỏ công sức ra tấn công bẻ khóa vân tay. Nhưng bất kỳ ai có thể là mục tiêu của những kẻ tấn công với nguồn lực dồi dào và có động cơ rõ ràng cũng nên cân nhắc khóa thiết bị bằng mật mã hoặc phương thức nhận dạng khuôn mặt thay vì vân tay. Và khi mà những công nghệ có khả năng đánh bại các cảm biến vân tay ngày một phát triển hơn, cả ngành công nghiệp có lẽ sẽ cần tái cân nhắc phương thức bảo mật này.
"Chúng tôi có thể tạo ra những bản in vân tay mở khóa được hầu hết các cảm biến vân tay của các nhà sản xuất" – William nói. "Với hầu hết người dùng, xác thực vân tay hiện vẫn tốt. Nhưng bạn nên biết rằng trong vài năm tới, khi công nghệ in 3D trở nên tiên tiến hơn, những phương thức sinh trắc học này sẽ trở thành một thứ mà ngay cả người dùng thông thường cũng nên tránh xa".
Theo Vn review
