Tính năng bảo mật xác thực tĩnh mạch (Vein Authentication) bị đánh bại bởi một bàn tay giả

Các nhà nghiên cứu bảo mật đã tiết lộ một thông tin mới tại đại hội truyền thông Chaos (Chaos Communication Congress) cho thấy tin tặc có thể xuyên thủng tính năng xác thực dựa trên tĩnh mạch bằng cách tạo ra một bàn tay giả.

Các thiết bị và hệ thống bảo mật đang có xu hướng chuyển sang sử dụng xác thực dựa trên sinh trắc học như cảm biến vân tay, mống mắt, nhận diện khuôn mặt... để cho phép người dùng truy cập và ngăn chặn sự xâm nhập của tin tặc thay vì mật khẩu như truyền thống. Gần đây, có một phương pháp khác được gọi là xác thực tĩnh mạch, mà đúng như tên gọi của nó, phương pháp này sẽ sử dụng một máy tính để quét hình dạng, kích thước và vị trí của hệ thống tĩnh mạch dưới da bàn tay của người dùng. Nhưng liệu phương pháp xác thực sinh trắc học tiên tiến này có phải là phương án bảo mật tối ưu nhất hiện nay?

• Hacker khoan thủng bảo mật 2 yếu tố chỉ bằng những cuộc tấn công phishing tự động

Xác thực tĩnh mạch hoạt động dựa trên các hệ thống so sánh vị trí tĩnh mạch của người dùng với bản sao đã lưu trong hồ sơ. Theo một báo cáo gần đây từ hãng tin Đức DPA, cơ quan tình báo tín hiệu BND, Đức đã sử dụng xác thực tĩnh mạch làm phương án bảo mật trong tòa trụ sở mới của mình ở Berlin.

Một điểm hấp dẫn của hệ thống xác thực tĩnh mạch so với các hệ thống quét vân tay truyền thống là kẻ tấn công thường sẽ khó có thể lấy được thông tin về vị trí cũng như cấu trúc tĩnh mạch của người khác vì đơn giản tĩnh mạch nằm bên dưới lớp da, thay vì nằm “lộ thiên” và dễ bị lấy cắp như dấu vân tay.

Tuy nhiên, thật buồn là một cuộc thử nghiệm gần đây đã cho thấy cấu trúc tĩnh mạch của bạn vẫn có thể bị đánh cắp bình thường. Hai chuyên gia bảo mật người Đức là Jan Krissler và Julian Albrecht đã đánh bại bảo mật tĩnh mạch bằng cách chụp lại các mẫu cấu trúc tĩnh mạch của mình. Cụ thể, họ đã sử dụng một máy ảnh DSLR được chuyển đổi với bộ lọc hồng ngoại, cho phép họ có thể nhìn thấy mô hình của tĩnh mạch dưới da. Tổng cộng, cặp đôi đã phải chụp 2.500 bức ảnh và tới hơn 30 ngày để hoàn thiện quy trình để tìm ra một hình ảnh chuẩn xác nhất.

• Có thể mở khóa điện thoại bằng dấu vân tay người chết không?

Sau đó, hai chuyên gia đã sử dụng hình ảnh này để tạo ra một mô hình sáp của bàn tay bao gồm tất cả các chi tiết chuẩn xác về cấu trúc tĩnh mạch. “Vậy là chúng tôi đã có thể tạo ra được một bản sao 1:1 về cấu trúc tĩnh mạch của chính mình và sử dụng nó để đánh lừa hệ thống bảo mật xác thực tĩnh mạch. Ban đầu tôi khá ngạc nhiên vì nó quá dễ dàng”, ông Krissler nói.

Các nhà nghiên cứu đã tiết lộ chi tiết cuộc thử nghiệm của họ cho hai tập đoàn Fujitsu và Hitachi. Theo Jan Krissler, ông đã trình bày nghiên cứu của mình cho các nhân viên của Hitachi và Fujitsu - đây là hai công ty đi đầu trong thiết kế và sản xuất các hệ thống xác thực tĩnh mạch để xin ý kiến phản hồi. Hiện cả Fujitsu và Hitachi vẫn chưa đưa ra bất cứ ý kiến bình luận nào.

Jan Krissler và Julian Albrecht chỉ dành ra khoảng một tháng để thực hiện nghiên cứu này. Điều đó cho thấy rằng việc khoan thủng hệ thống xác thực tĩnh mạch tuy mất thời gian nhưng không khó để thực hiện, được biệt là khi những kẻ đánh cắp được hậu thuẫn bởi những thế lực lớn.

• Vân tay giả của AI có khả năng mở khóa bảo mật của smartphone hiện tại

“Bảo mật sinh trắc học luôn là một cuộc chạy đua vũ trang. Các nhà sản xuất không ngừng cải thiện hệ thống của họ, tin tặc xuất hiện và phá vỡ hệ thống đó, các nhà sản xuất lại tìm cách vá, đây là một chu kỳ bất tận". Jan Krissler nhận định.

Xem thêm:

• Góc làm giàu: Một công ty treo giải 1 triệu USD cho ai hack được WhatsApp và iMessage
• Cảnh báo: Mã độc tống tiền mới GandCrab đang tấn công người dùng Internet Việt Nam
• Trang hỏi đáp Quora bị tấn công khiến 100 triệu người dùng bị lộ thông tin cá nhân
• Lỗ hổng trên Android cho phép malware đọc thông tin thiết bị dù không được phép