Buzz
Một phát hiện đáng kinh ngạc về lỗ hổng bảo mật của cảm biến chuyển động trong điện thoại thông minh được tích hợp trong phần cứng.
Dù bạn đã cực kỳ cẩn trọng về bảo mật khi sử dụng điện thoại và các thiết bị khác, vẫn có những mối đe dọa mà bạn không nhận biết. Các nhà nghiên cứu bảo mật liên tục phát hiện ra các mối nguy mới, mở ra cơ hội cho kẻ tấn công truy cập vào dữ liệu cá nhân của người dùng.
Một phát hiện bất ngờ về lỗ hổng bảo mật từ cảm biến chuyển động trong điện thoại thông minh được tích hợp trong phần cứng của chúng. Những cảm biến này thường được thiết kế để phát hiện khi điện thoại di chuyển và sử dụng nhưng có thể bị lạm dụng.
Các ứng dụng thu thập âm thanh từ cảm biến chuyển động trên điện thoại của bạn
Các nhà nghiên cứu mới đây đã phát hiện ra một lỗ hổng đáng sợ trong hệ điều hành Android. Cuộc tấn công này được gọi là Spearphone, có thể thu thập dữ liệu âm thanh từ loa. Do đó, nó có khả năng nghe lén các cuộc trò chuyện khi điện thoại ở gần. Nó sử dụng cảm biến chuyển động gia tốc kế để đo gia tốc, độ nghiêng hoặc xoay thiết bị. Các ứng dụng định vị như Google Maps sử dụng gia tốc kế để xác định vị trí của bạn.
Spearphone hoạt động bằng cách biến điện thoại thành một loại micro. Cảm biến đo gia tốc được đặt trên cùng mặt phẳng với loa điện thoại, cho phép nó thu được âm thanh từ lời nói. Khi ai đó sử dụng điện thoại ở chế độ loa hoặc tương tác với trợ lý ảo như Google Assistant, gia tốc kế có thể ghi lại âm thanh của giọng nói. Sau đó, kẻ tấn công có thể chuyển tiếp các bản ghi đến máy chủ của họ.
Qua arXiv, những nhà nghiên cứu đã phát hiện ra lỗ hổng này bằng cách tạo ra một ứng dụng Android độc hại. Sau đó, họ thử nghiệm ứng dụng này trên các thiết bị như LG G3, Samsung Galaxy S6 và Samsung Galaxy Note 4. Ứng dụng này có thể ghi âm giọng nói bằng cách sử dụng gia tốc kế, gửi các bản ghi âm về máy chủ mà nhà nghiên cứu kiểm soát. Sau đó tự động phân tích bản ghi bằng phần mềm học máy.
Dựa trên dữ liệu thu thập theo phương pháp này, nhà nghiên cứu có thể nhận diện giới tính của người nói trong 90% trường hợp và xác định chính xác người nói trong 80% thời gian.
Các ứng dụng sử dụng dữ liệu từ cảm biến chuyển động để tránh bị phát hiện
Theo báo cáo từ Trend Micro, một nhóm các nhà nghiên cứu bảo mật đã phát hiện ra 2 ứng dụng Android thực hiện điều này. Đó là Currency Converter và BatterySaverMobi, được quảng cáo như các công cụ tiện ích để chuyển đổi tiền tệ và kiểm tra pin điện thoại của bạn. Tuy nhiên, thực tế, chúng chứa một phần mềm độc hại gọi là Anubis, chuyên đánh cắp thông tin thẻ tín dụng và tài khoản ngân hàng trực tuyến.
Những ứng dụng này đã tận dụng cảm biến chuyển động để tránh bị phát hiện. Khi các nhà nghiên cứu bảo mật kiểm tra phần mềm độc hại, họ thường chạy thử nghiệm trên một máy ảo trên máy tính. Điều này đồng nghĩa với việc các cảm biến chuyển động không ghi nhận bất kỳ sự di chuyển nào trong quá trình thử nghiệm. Tuy nhiên, khi người dùng cài đặt ứng dụng trên điện thoại di động, họ thường cầm điện thoại theo họ. Điều này dẫn đến nhiều sự di chuyển mà cảm biến sẽ ghi nhận được.
Các ứng dụng độc hại kiểm tra sự dao động thông qua cảm biến chuyển động. Nếu không có sự chuyển động nào được phát hiện, chúng hiểu rằng ứng dụng đang bị kiểm tra và không triển khai bất kỳ mã độc nào. Do đó, các nhà nghiên cứu bảo mật sẽ không phát hiện bất kỳ điều gì đáng ngờ. Tuy nhiên, khi người dùng cài đặt ứng dụng và một trong số các ứng dụng này và bắt đầu di chuyển, ứng dụng sẽ kích hoạt phần mềm độc hại và có thể bắt đầu đánh cắp dữ liệu.
Ứng dụng tận dụng dữ liệu cảm biến chuyển động để nhận dạng dấu vân tay của bạn
Một vấn đề bảo mật khác mà có thể bạn đã từng nghe nói đến là việc theo dõi dấu vân tay qua trình duyệt. Điều này xảy ra khi dữ liệu từ máy tính và trình duyệt của bạn được sử dụng để nhận dạng và theo dõi bạn. Ví dụ, nó có thể xác định qua các phần mở rộng trình duyệt khác nhau mà bạn đã cài đặt và phông chữ bạn sử dụng trên máy tính. Dữ liệu này có thể được sử dụng để tạo ra một hình ảnh độc đáo về người dùng và theo dõi họ trên Internet.
Cả iOS và Android đều có thể gặp rủi ro bảo mật khi sử dụng cảm biến chuyển động. Sử dụng một kỹ thuật được gọi là SensorID, nó có thể tạo ra dấu vân tay dựa trên con quay hồi chuyển và dữ liệu từ cảm biến từ điện thoại của bạn. Các cảm biến này được hiệu chỉnh theo cách duy nhất cho mỗi người dùng, cho phép nhận dạng họ. Nếu ứng dụng hoặc trang web có quyền truy cập vào cảm biến chuyển động của người dùng, chúng có thể theo dõi hành vi khi họ sử dụng Internet.
Kỹ thuật này vẫn hoạt động ngay cả khi bạn thực hiện các biện pháp bảo mật như sử dụng VPN hoặc chuyển sang một trình duyệt khác. Đáng lo ngại hơn, nó vẫn tồn tại sau khi người dùng khôi phục cài đặt gốc trên điện thoại. Nguyên nhân là do dấu vân tay hiệu chuẩn của cảm biến chuyển động không bao giờ thay đổi. Theo các nhà nghiên cứu, đây là một cuộc tấn công nhanh, chỉ mất dưới 1 giây để tạo ra dấu vân tay.
Cách tự bảo vệ khỏi các ứng dụng lạm dụng dữ liệu cảm biến chuyển động
Những cuộc tấn công này khó có thể đối phó. Tuy nhiên, có một số biện pháp mà bạn có thể thực hiện để tự bảo vệ khỏi các rủi ro bảo mật lạm dụng cảm biến chuyển động trên điện thoại.
Kiểm tra các quyền cần thiết trước khi cài đặt ứng dụng mới
Đầu tiên, hãy cẩn thận khi cho phép quyền cho một ứng dụng cụ thể. Khi bạn tải xuống một ứng dụng mới từ Google Play, nó sẽ yêu cầu bạn cho phép truy cập vào nhiều chức năng khác nhau trên điện thoại. Ví dụ, ứng dụng máy ảnh sẽ yêu cầu quyền truy cập vào máy ảnh của điện thoại di động.
Rất nhiều người dùng đồng ý cho phép các quyền mà không chú ý, điều này có thể dẫn đến các vấn đề bảo mật nghiêm trọng. Khi cài đặt một ứng dụng hoặc trò chơi mới trên điện thoại, hãy kiểm tra xem nó yêu cầu quyền gì. Nếu nó yêu cầu truy cập vào cảm biến chuyển động của điện thoại, hãy tự hỏi liệu nó cần quyền đó để làm gì. Nếu không có lý do rõ ràng cho việc yêu cầu quyền đó, hãy suy nghĩ lại việc cài đặt.
Bảo vệ loa của điện thoại của bạn
Thứ hai, nếu bạn lo lắng về việc cảm biến chuyển động bị lạm dụng để nghe lén các cuộc trò chuyện của bạn, bạn có thể thực hiện một số biện pháp trực tiếp như đặt vật liệu cách âm xung quanh loa điện thoại để ngăn cảm biến chuyển động thu được âm thanh. Hơn nữa, tránh đặt điện thoại trên bề mặt phẳng và cứng như bàn làm việc khi sử dụng loa. Điều này sẽ giúp ngăn cảm biến gia tốc thu thập âm thanh.
Hãy luôn cập nhật phiên bản hệ điều hành cho điện thoại của bạn
Để đối phó với rủi ro bảo mật liên quan đến dấu vân tay, việc quan trọng nhất là đảm bảo rằng hệ điều hành của điện thoại được cập nhật đều đặn, vì các vấn đề này thường được giải quyết trong các phiên bản hệ điều hành như iOS 12.2. Google cũng đang nỗ lực cập nhật hệ điều hành Android để bảo vệ người dùng.
Hãy luôn tỉnh táo và bảo vệ thông tin cá nhân của mình bằng cách sử dụng điện thoại thông minh một cách cẩn thận. Hy vọng bài viết này sẽ giúp bạn sử dụng điện thoại một cách an toàn và bảo mật hơn!
