Cho đến nay, tin tặc đã mạo danh đơn giản bằng cách nhấc các bản in ra khỏi mặt bên của điện thoại và truy cập trái phép vào điện thoại của người dùng cũng như dữ liệu.
Tuy nhiên, các nhà nghiên cứu bảo mật hiện đã phát hiện ra 4 cách mới để tấn công thiết bị Android nhằm trích xuất dấu vân tay của người dùng từ xa mà không cho người dùng biết về nó.
Cuộc tấn công, mà các nhà nghiên cứu gọi là “Tấn công gián điệp cảm biến vân tay,” có thể được tin tặc sử dụng để “thu thập dấu vân tay từ xa trên quy mô lớn,” Yulong Zhang, một trong những nhà nghiên cứu nói với ZDNet.
Danh mục bài viết
Hack dấu vân tay Android từ xa
Các nhà nghiên cứu của FireEye Tao Wei và Yulong Zhang đã trình bày nghiên cứu của họ trong một bài nói chuyện có tiêu đề, Dấu vân tay trên thiết bị di động: Lạm dụng và rò rỉtại hội nghị mũ đen ở Las Vegas vào thứ Tư, nơi họ vạch ra những cách mới để tấn công các thiết bị Android nhằm lấy dấu vân tay của người dùng.
Cuộc tấn công mới chủ yếu giới hạn ở các thiết bị Android có Cảm biến vân tay giúp người dùng xác thực danh tính của họ chỉ bằng cách chạm vào màn hình điện thoại của họ, thay vì nhập mật mã.
Các nhà nghiên cứu đã xác nhận cuộc tấn công vào HTC One Max và Galaxy S5 của Samsung, cho phép họ lén lấy hình ảnh dấu vân tay từ thiết bị vì các nhà cung cấp không khóa cảm biến dấu vân tay đủ tốt.
Cuộc tấn công ảnh hưởng đến điện thoại di động của các nhà sản xuất lớn bao gồm cả thiết bị cầm tay do Samsung, HTC và Huawei cung cấp.
Dấu vân tay so với mật khẩu
Nếu chúng tôi nghĩ, thì dấu vân tay bị đánh cắp sẽ là một tình huống thậm chí còn tồi tệ hơn cả mật khẩu bị đánh cắp vì bạn có thể thay đổi mật khẩu của mình khi bị vi phạm chứ không chỉ thay thế dấu vân tay của mình.
“Trong cuộc tấn công này, dữ liệu vân tay của nạn nhân rơi trực tiếp vào tay kẻ tấn công. Trong phần đời còn lại của nạn nhân, kẻ tấn công có thể tiếp tục sử dụng dữ liệu vân tay để làm những việc độc hại khác,” Trương nói.
Tin tốt là vấn đề tương đối dễ khắc phục bằng cách thêm mã hóa vào dữ liệu dấu vân tay trên thiết bị Android và các nhà cung cấp bị ảnh hưởng đã phát hành bản vá sau khi được các nhà nghiên cứu cảnh báo.
Các nhà nghiên cứu đã không chia sẻ bất kỳ “bằng chứng của khái niệm” nêu chi tiết chính xác cách thức tấn công đánh cắp dấu vân tay có thể được thực hiện từ xa.
Trong khi đó, người dùng Apple chỉ cần ngồi và thư giãn vì có vẻ như Touch ID của iPhone và iPad “khá an toàn” vì nó mã hóa dữ liệu vân tay từ máy quét bằng khóa mật mã, khiến nó không thể đọc được ngay cả khi tin tặc truy cập được.
Người dùng cần lưu ý rằng Google vẫn chưa chính thức hỗ trợ vân tay trong hệ điều hành di động của mình nhưng hãng sẽ sớm hỗ trợ cảm biến vân tay với bản cập nhật Android M.
