Buzz
Đã gần một thập kỷ kể từ khi cảm biến vân tay lan rộng như một cơ chế mở khóa nhanh chóng và dễ dàng cho điện thoại thông minh và laptop. Các cuộc tấn công để đánh bại máy quét này đã tồn tại cũng đã lâu, mặc dù không thực tế cho tất cả trừ những kẻ tấn công có động lực cao nhất - và giàu có nhất. Nhưng nghiên cứu mới cho thấy rằng trang thiết bị cần thiết để dễ dàng làm giả vân tay và đột nhập vào các thiết bị đã trở nên rẻ hơn nhiều.
Các nhà nghiên cứu từ Cisco Talos đã đạt được tỷ lệ thành công trung bình là 80% trong việc vượt qua máy quét vân tay trên mười hai thiết bị khác nhau. Chỉ cần một máy in 3D để sản xuất những kẻ lừa đảo, và một ngân sách dưới 2,000 đô la. Họ nhấn mạnh rằng khóa vân tay vẫn cung cấp sự bảo vệ đủ cho hầu hết các nhu cầu, vì kỹ thuật của họ đòi hỏi có được bản sao vân tay của bạn cũng như quyền truy cập vật lý vào thiết bị của bạn. Nhưng ngay cả người dùng thông thường cũng nên xem xét các yêu cầu truy cập của cơ quan chức năng khi chọn khóa thiết bị của họ - đặc biệt là khi rào cản để phá vỡ phòng thủ khóa vân tay giảm đi.
"Không cần một lượng tiền đáng kể để vượt qua xác nhận dựa trên vân tay cho hầu hết các nhà cung cấp," nói Craig Williams, người điều hành Talos. "Việc máy in 3D công nghệ có thể đạt độ phân giải làm cho vân tay ít an toàn hơn so với 10 năm trước là đáng lo ngại, vì ai cũng có thể truy cập được những máy in này. Nhưng vẫn không dễ dàng. Vẫn cần một lượng công sức đáng kể và khả năng bắt gọn hình ảnh vân tay."
Các nhà nghiên cứu đã thử nghiệm ba tình huống khác nhau để thu thập dấu vân tay. Tình huống đầu tiên là thu thập trực tiếp, khi họ làm khuôn của dấu vân tay liên quan của đối tượng. Tình huống thứ hai sử dụng dữ liệu cảm biến thu thập từ máy quét như những cái ở các trạm kiểm soát biên giới, và tình huống thứ ba liên quan đến việc lấy dấu vân từ các đối tượng khác như một chai mà đối tượng đã nắm giữ.
Để làm khuôn, các nhà nghiên cứu sử dụng một máy in 3D tia cực tím tương đối giá rẻ mà làm cứng nhựa nó extrude với tia UV. Sau đó, họ thử nghiệm nhiều vật liệu, như silicone, để tạo ra những bản in giả cuối cùng. Đáng ngạc nhiên, họ đạt được nhiều thành công nhất khi đổ những bản in bằng keo vải.
Để làm cho dấu vân tích điện để máy khóa cảm biến sẽ hiểu chúng như ngón tay thật, các nhà nghiên cứu thiết kế những chiếc bao tay nhỏ giống như bất kỳ ai đều có thể đeo trên ngón tay của mình, về cơ bản tạo ra một trang phục che dấu vân tay.
Nhìn chung, những phát hiện này làm nổi bật sự cân nhắc mà các nhà sản xuất cảm biến vân tay tiêu dùng phải đối mặt giữa an ninh và khả năng sử dụng. Nếu một cảm biến được đặt để chống lại những kết quả dương giả mạnh mẽ, nó có thể cũng sẽ từ chối một số cố gắng hợp lệ để mở khóa thiết bị. Trong một cái gì đó như một chiếc điện thoại thông minh hoặc laptop, sự ma sát đó có thể khiến người dùng hoàn toàn từ bỏ tính năng. Một cảm biến quá cho phép, tuy nhiên, có thể cho phép trẻ em mở máy tính bảng của cha mẹ. Hoặc tồi tệ hơn.
Giá của thiết bị dường như không phải là một chỉ số mạnh mẽ cho sự mạnh mẽ của cảm biến vân tay. Các nhà nghiên cứu không thể đánh lừa chiếc điện thoại thông minh tầm trung A70 của Samsung hoàn toàn—tuy gặp một lượng lớn kết quả dương giả bất thường—nhưng liên tục có thể đột nhập vào Samsung S10 hàng đầu. Họ không thể lừa đảo khung Windows Hello trên Windows 10, nhưng lại đánh lừa được TouchID của MacBook Pro. Trên chiếc MacBook Pro 2018, nhóm nghiên cứu đã đạt tỷ lệ mở khóa thành công 95% với một bản in tạo ra từ việc thu thập trực tiếp, tỷ lệ thành công 93% với một bản in được làm bằng dữ liệu vân tay từ máy quét, và tỷ lệ thành công 60% với một bản in được làm từ một dấu vân được nâng lên. Tuy nhiên, các nhà nghiên cứu lưu ý rằng giới hạn năm lần thử nghiệm của Apple đối với cảm biến vân tay là một bảo vệ hiệu quả chống lại các cuộc tấn công như vậy. Nếu các nhà nghiên cứu không biết mã pin dự phòng của các thiết bị mà họ cố gắng đột nhập, họ sẽ không có đủ số lần thử nghiệm để đạt được tỷ lệ thành công cao như vậy.
Các nhà nghiên cứu đã tiết lộ những phát hiện của họ cho các nhà sản xuất thiết bị nhưng cho biết họ không xem xét vấn đề này như là những lỗ hổng không biết trước. Thay vào đó, công việc của họ dựa trên những hạn chế đã biết trong khóa cảm biến vân tay và làm nổi bật nhu cầu kiểm tra liên tục. Ví dụ, vào năm 2016, các nhà nghiên cứu từ Đại học Michigan đã giúp FBI mở khóa chiếc Samsung Galaxy S6 của một người đã chết bằng cách sử dụng một bản tái tạo của dấu vân tay của người đó. Và tiếp cận của cảnh sát là yếu tố lớn nhất mà người dùng thông thường cần xem xét khi chọn khóa thiết bị. Ở Hoa Kỳ, tiền lệ pháp lý đã không nhất quán về việc cơ quan chức năng có thể ép buộc một nghi can mở khóa thiết bị bằng dấu vân tay của mình. Nhưng trong một số trường hợp, các thẩm phán đã xác định họ có thể ép buộc giải mã. Hiện tại, các nhà bảo vệ quyền riêng tư nói rằng bạn ít có khả năng bị ép buộc mở khóa thiết bị của mình cho cơ quan chức năng nếu nó có một mã pin thay vì một khóa sinh trắc học.
“Tôi nghĩ rằng cảm biến vân tay trên điện thoại thông minh tiêu dùng chủ yếu là vấn đề thuận tiện,” nói Lukasz Olejnik, một nghiên cứu viên và cố vấn về an ninh mạng độc lập. “Chúng tốt hơn nhiều so với việc không có biện pháp khóa nào. Nhưng một mã PIN mạnh mẽ chung là an toàn hơn.”
Với hacker tội phạm, người dùng thông thường có lẽ không đáng bị nhắm mục bằng cuộc tấn công mở khóa bằng vân tay. Nhưng bất kỳ ai có thể là mục tiêu của những kẻ tấn công có nguồn lực và động lực cao nên xem xét việc khóa thiết bị của họ bằng mật khẩu hoặc nhận diện khuôn mặt thay vì dấu vân tay. Và khi công nghệ để đánh bại cảm biến vân tay phát triển hơn nữa, toàn bộ ngành công nghiệp có thể cần xem xét lại bài toán này.
"Chúng tôi đã có thể tạo ra các dấu vân hữu ích cho hầu hết các nhà sản xuất," Williams nói. "Đối với hầu hết người dùng, xác thực bằng dấu vân tay hiện tại là đủ. Nhưng mọi người chỉ cần nhận ra rằng trong vài năm tới, khi công nghệ in 3D tiến bộ, những biểu hiện sinh học này có thể trở thành điều mà người dùng gia đình cần xem xét để chuyển sang phương thức khác."
Cập nhật vào Thứ Tư, ngày 8 tháng 4 năm 2020 lúc 3 giờ chiều giờ Mỹ Đông để bao gồm thông tin về giới hạn năm lần thử nghiệm của Apple đối với quét dấu vân tay.
Những điều tuyệt vời khác từ MYTOUR
- Một lược sử ngắn ngủi về cuộc điều tra dân số—và cách Covid-19 có thể thay đổi nó
- Xây dựng thành phố cho xe đạp, xe buýt và đôi chân—không phải là ô tô
- Phản đối quyền riêng tư của Zoom chỉ mới bắt đầu
- Thuyết âm mưu về coronavirus đang trở thành mối đe dọa cho sức khỏe cộng đồng
- Bức tranh kỳ lạ về thú cưng hoàn hảo đối xứng
- 👁 Tại sao trí tuệ nhân tạo không thể hiểu được nguyên nhân và kết quả? Ngoại trừ: Nhận tin tức AI mới nhất
- ✨ Tối ưu hóa cuộc sống tại nhà với những lựa chọn tốt nhất của đội ngũ Gear chúng tôi, từ robot hút bụi đến đệm giá rẻ đến loa thông minh
