Những trình quét vân tay là một tuyến phòng thủ tốt chống lại tin tặc, nhưng không có nghĩa chúng không thể bị phá vỡ. Để đối phó với sự gia tăng của các thiết bị hỗ trợ tính năng quét vân tay, tin tặc đang cải tiến các kỹ thuật để bẻ khóa tuyến phòng thủ này.
Dưới đây là một số cách mà tin tặc có thể “đánh bại” trình quét vân tay.
Tin tặc có thể "hạ gục" các trình quét vân tay như thế nào?
1. Sử dụng masterprint
Cũng giống như khóa đa năng vật lý có thể mở bất cứ ổ khóa nào, masterprint cũng có thể vượt qua các trình quét vân tay.
Tin tặc có thể sử dụng masterprint để truy cập vào những thiết bị sử dụng tính năng quét kém. Các trình quét đáng tin cậy sẽ chặn được masterprint, nhưng một trình quét kém hơn (được tìm thấy trong điện thoại di động chẳng hạn) có thể không kiểm tra nghiêm ngặt lắm. Như vậy, masterprint là một cách hiệu quả để tin tặc xâm nhập vào các thiết bị có khả năng phòng vệ kém.
Cách tránh các cuộc tấn công bằng masterprint
Cách tốt nhất để tránh kiểu tấn công này là sử dụng trình quét vân tay đáng tin cậy. Masterprint khai thác các máy quét kém chính xác để xác nhận danh tính.
Trước khi đặt quá nhiều niềm tin vào trình quét vân tay, hãy thực hiện một số nghiên cứu về nó. Lý tưởng nhất là tìm thống kê False Acceptance Rate (FAR) - Tỷ lệ dung sai. Tỷ lệ phần trăm FAR là cơ hội để một dấu vân tay không được chấp thuận có quyền truy cập vào hệ thống. Tỷ lệ phần trăm này càng thấp, thì càng nhiều khả năng trình quét vân tay bạn đang sử dụng sẽ phát hiện ra masterprint.
2. Thu thập hình ảnh không được bảo mật
Nếu tin tặc nắm giữ hình ảnh dấu vân tay của bạn, đồng nghĩa với việc chúng giữ chìa khóa để xâm nhập vào trình quét vân tay bạn đang sử dụng. Mọi người có thể thay đổi mật khẩu, nhưng dấu vân tay thì không. Sự vĩnh cửu của vân tay làm cho chúng trở thành một công cụ có giá trị đối với bọn tin tặc muốn vượt qua trình quét vân tay.
Trừ khi bạn là người rất nổi tiếng hoặc có tầm ảnh hưởng lớn, nếu không hacker sẽ dễ dàng lấy được mọi thứ bạn đã chạm vào để tạo ra một masterprint từ vân tay của bạn. Có nhiều khả năng tin tặc sẽ nhắm mục tiêu vào thiết bị hoặc máy quét với hy vọng trong đó chứa dữ liệu vân tay thô của bạn.
Để một trình quét nhận dạng được bạn, nó cần một hình ảnh cơ bản của dấu vân tay. Trong quá trình thiết lập, bạn cung cấp một bản mẫu dấu vân tay cho trình quét và nó sẽ lưu hình ảnh vào bộ nhớ. Sau đó, trình quét sẽ “nhớ lại” hình ảnh này mỗi khi bạn sử dụng, để đảm bảo vân trên ngón tay được quét giống với vân tay mẫu đã cung cấp trong quá trình thiết lập.
Thật không may, một số thiết bị hoặc trình quét lưu hình ảnh này mà không mã hóa. Nếu tin tặc có quyền truy cập vào bộ nhớ, chúng có thể lấy hình ảnh và thu thập chi tiết dấu vân tay của bạn một cách dễ dàng.
Làm thế nào để tránh cuộc tấn công này?
Để tránh cuộc tấn công loại này, đòi hỏi phải xem xét tính bảo mật của thiết bị bạn sử dụng. Một trình quét dấu vân tay đáng tin cậy sẽ mã hóa file hình ảnh để ngăn kẻ xấu muốn lấy thông tin sinh trắc học của bạn.
Kiểm tra kỹ trình quét vân tay đang sử dụng để xem nó có lưu trữ hình ảnh dấu vân tay đúng cách không. Nếu thấy rằng thiết bị không lưu hình ảnh dấu vân tay một cách an toàn, bạn nên ngừng sử dụng nó ngay lập tức. Bạn cũng nên xem xét việc xóa file hình ảnh để tin tặc không thể sao chép nó.
3. Sử dụng dấu vân tay giả mạo
Nếu tin tặc không thể lấy được hình ảnh vân tay không bảo mật, chúng có thể chọn tạo dấu vân tay giả thay thế. Thủ thuật này liên quan đến việc nắm giữ các bản mẫu vân tay mục tiêu và tái tạo chúng để đánh bại trình quét.
Vài năm trước, The Guardian đã báo cáo về cách một hacker sử dụng để tái tạo dấu vân tay của bộ trưởng quốc phòng Đức!
Có nhiều cách khác nhau để hacker có thể biến bản in thu thập được thành một dấu vân tay vật lý. Chúng có thể tạo ra một bản sao bằng sáp hoặc bằng gỗ của một bàn tay, in nó ra trên một loại giấy đặc biệt, dùng mực dẫn bằng bạc, rồi sử dụng nó trên trình quét.
Làm thế nào để tránh cuộc tấn công này?
Thật không may, đây là một cuộc tấn công mà bạn không thể trực tiếp phòng tránh. Nếu một tin tặc có ý định xâm phạm trình quét dấu vân tay bạn đang sử dụng và chúng tìm mọi cách để lấy dấu vân tay của bạn, bạn không thể làm gì để ngăn chúng tạo ra mô hình giả mạo.
Điểm mấu chốt để đánh bại cuộc tấn công này là ngăn chặn việc lấy được dấu vân tay ở nơi đầu tiên. Bạn không nhất thiết phải đeo găng tay mọi lúc như một tên tội phạm, nhưng thật tốt khi nhận thức được những nơi có khả năng các chi tiết dấu vân tay của bạn bị rò rỉ. Gần đây, có rất nhiều báo cáo về việc rò rỉ cơ sở dữ liệu thông tin nhạy cảm, vì vậy điều này rất đáng để xem xét.
Hãy đảm bảo chỉ cung cấp chi tiết dấu vân tay của mình cho những thiết bị và dịch vụ đáng tin cậy. Nếu một dịch vụ bảo mật kém hơn bị vi phạm cơ sở dữ liệu và không mã hóa hình ảnh vân tay, tin tặc sẽ lợi dụng điều này để tấn công trình quét vân tay bạn đang sử dụng.
4. Khai thác lỗ hổng phần mềm
Một số trình quản lý mật khẩu sử dụng tính năng quét vân tay để xác định người dùng. Mặc dù điều này rất hữu ích trong việc giúp giữ mật khẩu an toàn, nhưng hiệu quả cũng phụ thuộc vào mức độ bảo mật của phần mềm quản lý mật khẩu. Nếu chương trình không hiệu quả trong việc chống lại các cuộc tấn công, tin tặc có thể khai thác lỗ hổng này để có được thông tin về dấu vân tay.
Vấn đề này tương tự như nâng cấp bảo mật ở sân bay. Máy dò kim loại, nhân viên an ninh và camera được đặt khắp nơi để quan sát được mọi ngóc ngách trong sân bay. Tuy nhiên, nếu có một “cửa sau” bị lãng quên từ lâu, cho phép kẻ xấu có thể lẻn vào, tất cả những biện pháp bảo mật bổ sung đó sẽ chẳng có ích gì cả!
Gần đây, Gizmodo.com đã báo cáo một lỗ hổng đối với các thiết bị của Lenovo, trong đó trình quản lý mật khẩu kích hoạt bằng vân tay có hard-coded password (mật khẩu dạng plain text nằm bên trong mã nguồn). Nếu một hacker muốn có quyền truy cập vào trình quản lý mật khẩu, hắn ta có thể vượt qua trình quét vân tay bằng hard-coded password đó, khiến trình quét trở nên vô dụng!
Làm thế nào để tránh cuộc tấn công này?
Thông thường, cách tốt nhất để tránh kiểu tấn công này là mua các sản phẩm phổ biến và nhận được nhiều ý kiến tích cực từ phía người dùng. Mặc dù cũng có những ngoại lệ (ví dụ trường hợp một tên tuổi lớn như Lenovo cũng bị tấn công, như đã đề cập ở trên).
Như vậy, ngay cả khi bạn chỉ sử dụng phần cứng được sản xuất bởi các thương hiệu có uy tín, việc giữ cho phần mềm bảo mật được cập nhật để khắc phục mọi sự cố được tìm thấy sau đó vẫn rất quan trọng.
5. Tái sử dụng phần vân tay còn sót lại
Đôi khi, một hacker không cần thực hiện bất kỳ kỹ thuật nâng cao nào để lấy dấu vân tay cả. Chúng chỉ cần sử dụng phần còn sót lại từ lần quét dấu vân tay trước đó để vượt qua lớp bảo mật.
Bạn để lại dấu vân tay của mình trên các vật thể khi sử dụng chúng và máy quét vân tay cũng không ngoại lệ. Bất kỳ bản mẫu nào được thu hoạch từ máy quét đều được bảo đảm gần giống với mẫu vân tay mở khóa. Tình huống này giống như việc quên chìa trong ổ khóa sau khi mở cửa.
Thậm chí sau đó, một hacker có thể không cần sao chép mẫu vân tay từ trình quét. Điện thoại thông minh phát hiện dấu vân tay bằng cách phát ánh sáng lên ngón tay, sau đó ghi lại cách ánh sáng chiếu ngược vào cảm biến. Threatpost.com đã báo cáo về cách tin tặc có thể lừa phương thức quét này chấp nhận phần dấu vân tay còn sót lại.
Nhà nghiên cứu Yang Yu đã lừa một trình quét dấu vân tay trên điện thoại thông minh chấp nhận quét phần vân tay còn sót lại, bằng cách đặt một bề mặt phản chiếu mờ trên trình quét. Bề mặt phản chiếu lừa trình quét tin rằng phần vân tay còn sót lại là một ngón tay thực sự và cho phép truy cập điện thoại.
Làm thế nào để tránh cuộc tấn công này?
Cách tránh cuộc tấn công như thế này rất đơn giản. Hãy lau bề mặt thiết bị sau khi quét vân tay! Trình quét lưu lại dấu vân tay sau khi bạn sử dụng và cách tốt nhất để đảm bảo an toàn là lau sạch nó. Làm như vậy sẽ ngăn chặn tin tặc sử dụng chính thiết bị bạn đang sở hữu để chống lại chính bạn.
Mặc dù các trình quét dấu vân tay là một công cụ hữu ích, nhưng chúng không tuyệt đối an toàn! Nếu bạn đang sử dụng trình quét dấu vân tay, hãy chắc chắn thực hiện những biện pháp an toàn với nó. Dấu vân tay là chìa khóa cho tất cả các trình quét bạn sử dụng, vì vậy hãy thật cẩn thận với dữ liệu sinh trắc học của mình.
Chúc bạn tìm được cho mình giải pháp phù hợp!