VnReview
Hà Nội

Ăn cắp mật khẩu bằng tiếng động của CPU

Chỉ ít lâu sau khi các nhà khoa học tại Đức tìm ra cách truyền mật khẩu qua đường âm thanh, một đội nghiên cứu tại Israel đã tìm ra một cách lấy trộm dữ liệu thậm chí còn tinh vi hơn rất nhiều: Đo đạc âm thanh của… CPU khi mã hóa dữ liệu.

mật khẩu mã hóa hack âm thanh cpu

Bằng cách sử dụng microphone của các thiết bị di động (như smartphone), các nhà khoa học có thể đo được âm thanh do vi xử lý tạo ra khi đang mã hóa các thông tin. Sau đó, bằng cách nhận diện các thông tin tương ứng với các âm thanh (độc nhất) này, họ có thể lấy được thông tin từ các email riêng tư.

Về mặt lý thuyết, hacker có thể sử dụng kỹ thuật này để lấy trộm mật khẩu, tên tài khoản hoặc bất kì các thông tin nào khác được gửi lên mạng.

Lý do là trước khi được gửi đến các máy chủ, dữ liệu luôn được mã hóa sử dụng thuật toán có tên gọi RSA. Khi mã hóa bằng RSA, CPU sẽ tạo ra các âm thanh riêng biệt, có thể phân biệt được gọi là loop (vòng lặp âm thanh).

Thuật toán RSA sử dụng một chìa khóa công khai (public key) và một chìa khóa bí mật (private key) nhằm đóng gói và truyền tải dữ liệu một cách an toàn. Mỗi vòng lặp âm thanh thu được sẽ tương ứng với một bước cụ thể trong quá trình mã hóa; các loại PC khác nhau và các thông tin khác nhau sẽ cho các vòng âm thanh khác nhau.

mật khẩu mã hóa hack âm thanh cpu

Âm thanh của các model laptop tạo ra khi mã hóa RSA

Khi thu được các vòng âm thanh qua microphone, các nhà khoa học sẽ vẽ một biểu đồ tương ứng với chìa khóa RSA. Khi đã biết được tất cả các phần của chìa khóa mã hóa 4096 bit, họ sẽ dùng biện pháp "tấn công lấy chìa khóa" để mở khóa thông tin.;

Quá trình tấn công chỉ diễn ra trong vòng 1 giờ và có thể sử dụng microphone chất lượng kém đặt trong bán kính 4 mét tính từ PC.

Theo các nhà khoa học, khoảng cách tấn công có thể được tăng bằng cách sử dụng microphone laser hoặc máy đo độ rung. Tuy vậy, nhằm hack thành công một email, số lượng email thu được phải lên tới hàng nghìn email.

Ngoài ra, CPU bị tấn công phải tạo ra các tiếng ồn đủ rõ ràng để hacker có thể nhận diện. Nghiên cứu cũng chỉ mới được thực hiện qua phần mềm mã hóa GnuPG. Hiện tại, chưa rõ liệu biện pháp tấn công này khả thi đến mức nào nếu các thông số trong quá trình tấn công bị thay đổi.

Trong văn bản tuyên bố về phát hiện của mình, các nhà khoa học cho biết: "Chúng tôi đã chứng minh được rằng, các tấn công thông qua âm thanh tạo thành bởi máy vi tính là có thể thực hiện được, bằng cách sử dụng điện thoại di động thông thường đặt cạnh máy vi tính hoặc microphone có độ nhạy cao ở cách xa 4 mét".

Hiện tại, GnuPG đã được vá lỗ hổng bảo mật nói trên.

Lê Hoàng

Theo Daily Mail

Chủ đề khác