Hacker Trung Quốc dùng vân tay trên cốc thủy tinh để bẻ khóa cảm biến trong 20 phút

Một nhóm hacker của Tencent mới đây đã biểu diễn kỹ thuật bẻ khóa cảm biến vân tay smartphone chỉ trong 20 phút.

Bạn có chắc là muốn uống nước bằng chiếc cốc thủy tinh kia không? Bởi vân tay của bạn sẽ bám đầy trên thành cốc, và rõ ràng nhiêu đó là quá đủ để hacker bẻ khóa smartphone của bạn rồi.

Chỉ cần dấu vân tay bám trên thành cốc là quá đủ để hacker bẻ khóa smartphone của bạn rồi.

Nhóm hacker X-Lab thuộc Tencent Security đã trình diễn kỹ thuật này tại một sự kiện hack ở Thượng Hải bằng cách mời một số khán giả chạm vào cốc. Sau đó trưởng nhóm, Chen Yu, lấy điện thoại của mình ra, chụp ảnh vân tay trên cốc, đưa nó vào ứng dụng họ mới phát triển để trích xuất dữ liệu chính xác. Dữ liệu này được dùng để tạo ra bản sao vật lý của vân tay người dùng chỉ trong vòng 20 phút.

Kết quả? Bản sao vân tay kia đã đánh lừa được 3 chiếc smartphone và 2 cỗ máy khác được trang bị máy quét vân tay.

"Để thực hiện cuộc tấn công này, cần phần cứng có giá 140 USD, và phần mềm chỉ bao gồm một điện thoại và một ứng dụng" - nhà nghiên cứu Chen Yu của X-Lab nói.

X-Lab là một trong bảy nhóm nghiên cứu bảo mật của Tencent, bao gồm Keen Lab và Yunding Lab

Tencent tất nhiên từ chối tiết lộ thêm thông tin về phương thức cụ thể họ đã sử dụng.

X-Lab khẳng định họ là nhóm đầu tiên bẻ khóa được cảm biến vân tay siêu âm, cùng với hai loại cảm biến vân tay khác được dùng phổ biến trên smartphone là cảm biến điện dung và cảm biến quang học.

Nhưng khẳng định này không hoàn toàn đúng. Cảm biến vân tay siêu âm trên Galaxy S10 thực ra đã bị bẻ khóa vào đầu tháng này bởi một phụ nữ ở Anh, bằng một miếng dán màn hình giá 3,4 USD mua trên eBay.

Công ty Hàn Quốc sau đó đã tung ra một bản vá cho cảm biến vân tay của Galaxy S10 và Note 10, nhưng đã quá muộn ở Trung Quốc vì cả WeChat Pay và Alipay - hai nền tảng thanh toán di động lớn nhất nước này - đều đã ngừng kích hoạt việc sử dụng cảm biến vân tay trên một số thiết bị Samsung để xác thực giao dịch.

Cảm biến vân tay siêu âm trên Galaxy S10 thực ra đã bị bẻ khóa bằng một miếng dán màn hình giá 3,4 USD mua trên eBay.

Được phát triển bởi Qualcomm, cảm biến vân tay siêu âm được quảng cáo là một giải pháp đáng tin cậy hơn và nhanh hơn so với các cảm biến vân tay trong màn hình khác. Chúng phát sóng âm thanh đến ngón tay bạn và dựa vào dữ liệu dội ngược lại để tạo nên hình ảnh 3 chiều về vân tay. Xiaomi cũng đã sử dụng cảm biến vân tay siêu âm trên một số thiết bị của hãng.

Năm ngoái, nhóm của Chen đã phát hiện ra một lỗi thiết kế ảnh hưởng đến các cảm biến vân tay trong màn hình thế hệ cũ hơn, khiến nửa tá smartphone đứng trước nguy cơ, bao gồm cả Huawei Mate 20 Pro. Điều duy nhất cần để thực hiện cuộc tấn công là một vật liệu phản chiếu mờ đục. Nếu bạn đang tự hỏi thứ đó có thể tìm thấy ở đâu, thì bạn sẽ há hốc mồm khi biết nó thực ra khá phổ biến: giấy nhôm.

Một nhóm nghiên cứu bảo mật khác của Tencent, Keen Lab, đã phát hiện nhiều lỗi trong hệ thống hỗ trợ lái xe tiên tiến của Tesla trong năm nay, đánh lừa một chiếc Model S lấn sang làn đối diện.

Trong lần hack mới nhất này, các nhà nghiên cứu X-Lab cho biết họ đã phát triển ứng dụng trong nhiều tháng. Họ còn để ý thấy rằng việc trích xuất một dấu vân tay từ mặt kính điện thoại thậm chí dễ dàng hơn nhiều so với từ một chiếc cốc thủy tinh.

Nhưng X-Lab nói rằng bạn không nên quá lo lắng về vấn đề này. Chen cho biết bạn chỉ cần nhớ lau sạch vân tay thường xuyên bất kỳ khi nào chạm vào thứ gì đó.