Lỗ hổng lớn nhất là dấu vân tay?

Liệu dấu vân tay có còn là phương pháp đăng nhập an toàn, bảo mật cho chiếc điện thoại, khi việc làm giả dấu vân tay vô cùng đơn giản và dễ dàng?

Trong 5 phút, một người đã giả mạo dấu vân tay và đột nhập vào điện thoại của người khác. Rất đơn giản, đó là một thủ thuật mà hãng sinh trắc học Vkansee đã biểu diễn tại các triển lãm thương mại từ nhiều tháng nay. Tất cả những gì họ làm chỉ là lấy một vài khuôn nha khoa, một ít bột nhào để đắp vào khuôn và sau đó thử nghiệm và tạo thành dấu vân tay phù hợp với thiết bị đọc vân tay. Họ đã làm 2 lần với cùng một dấu vân tay: một lần trên một chiếc iPhone 6 và một lần trên chiếc Galaxy S6 Edge. Mọi thứ chỉ khó hơn việc mở một bức thư một chút!

Tất nhiên, phương pháp đặc biệt này chỉ hiệu quả nếu bạn có sự giúp đỡ của người có dấu vân tay bạn cần.

Đó cũng là một trong những cách khá sơ đẳng để vượt qua thiết bị quét vân tay. Các nhà nghiên cứu tại trung tâm CITER còn thực hiện thủ thuật tương tự bằng khuôn in 3D, được phát triển từ một hình ảnh vân tay chứ không phải là một dấu vân tay thực. Nếu khuôn đó được đắp đầy bột, bạn có thể đeo dấu vân tay đó vĩnh viễn, và đánh lừa bất kỳ chiếc máy đọc vân tay nào để đột nhập vào smartphone. Tại một hội nghị năm 2014, một nhà nghiên cứu bảo mật tên là Starbug đã sử dụng các kỹ thuật tương tự để tạo ra khuôn mẫu dấu vân tay của Bộ trưởng Quốc phòng Đức, chỉ dựa trên một bức ảnh độ nét cao của bàn tay Bộ trưởng.

Đó là một thủ thuật hay, và khiến chúng ta lo lắng. Các thiết bị đọc vân tay hiện đã trở thành một phần cần thiết của smartphone hiện đại, và trong hầu hết các trường hợp, chúng giúp các ứng dụng an toàn hơn. Tin xấu là, dấu vân tay vẫn có thể bị lấy cắp – và không như mật khẩu, bạn không thể thay đổi dấu vân tay của mình, vì thế một vụ giả mạo dấu vân tay thành công sẽ tạo ra lỗ hổng suốt đời. Việc cập nhật bảo mật dường như là thứ vô cùng phức tạp.

Điều này đặc biệt đúng trong trường hợp vụ khủng bố ở San Bernardino, trong đó FBI đã phải bẻ khóa chiếc iPhone có liên quan đến vụ án. Đó là chiếc iPhone 5c – đời iPhone cuối cùng không có đầu đọc vân tay. Nhưng nếu là một chiếc iPhone có đọc dấu vân tay, các nhà điều tra sẽ dễ dàng đột nhập hơn.

Điều đó thậm chí có thể xảy ra khi chủ thể sử dụng iPhone vẫn còn sống và không hợp tác. Một vụ án gần đây tại Los Angeles cho thấy quan tòa đã ban hành lệnh buộc lấy ngón tay của người phụ nữ đưa vào chiếc điện thoại bị tịch thu để mở khóa nó, sau khi kết án người phụ nữ về tội ăn cắp danh tính.

Video cách làm giả dấu vân tay và đột nhập vào điện thoại

Nếu các thông tin về người phụ nữ đó đã nằm trong cơ sở dữ liệu đang xây dựng của chính phủ, thẩm phán có thể không cần đưa ra lệnh ép buộc kia. Các khuôn in 3D sẽ để mọi hình ảnh vân tay thành một dấu vân tay thật, và cảnh sát sẽ có vô số hình ảnh để lựa chọn. Chính sách của cơ quan an ninh nội địa Mỹ đang tiến hành thu thập dấu vân tay của các công dân không phải thuộc nước Mỹ, trong độ tuổi 14 đến 79, khi họ nhập cảnh vào Mỹ. FBI cũng đang lưu giữ một cơ sở dữ liệu riêng với trên 100 triệu hồ sơ dấu vân tay, trong đó có 34 triệu "dấu vân tay" không hề liên quan đến bất kỳ vụ án nào. Bộ Quốc phòng cũng lưu trữ một cơ sở dữ liệu nữa với dấu vân tay được các sỹ quan quân đội trên khắp thế giới thu thập. Theo The Verge, những hồ sơ này được dùng để xác thực, nhưng một khi đã bị thu thập, không có lý do gì mà chúng không được dùng để tạo ra một dấu vân tay giả.

Khi chính sách thu thập dấu vân tay phổ biến hơn, dấu vân tay có thể trở thành một dạng gây rò rỉ dữ liệu dễ dàng, cũng như mật khẩu, thẻ tín dụng và số an ninh xã hội. Đối với một kẻ tấn công, dấu vân tay còn dễ dàng lấy cắp hơn là mật khẩu: vì dấu vân tay hiển hiện rõ ràng trên cơ thể bạn khắp mọi nơi, và bạn để lại dấu vân tay mỗi lần chạm vào một bề mặt phẳng. Hiện nay, bọn tội phạm vẫn chưa dùng chiêu đó nhiều, nhưng nó có thể bị lợi dụng nếu chúng ta dựa vào dấu vân tay để đăng nhập. Và một khi ai đó có được hình ảnh về dấu vân tay, việc tạo ra một dấu vân tay giả rất dễ dàng. Máy in 3D, và thậm chí các chuyên gia bảo mật đã tìm ra các phương pháp khác để tạo dấu vân tay giả.

Theo The Verge, dù thiết bị đọc vân tay đã có trên điện thoại, song sinh trắc học vẫn còn lâu mới trở thành phương pháp chính để mở khóa các thiết bị. Các nhà phân tích ước tính chưa đến 15% việc đăng nhập iPhone được thực hiện qua cảm biến TouchID, và nhiều điện thoại đơn giản không có tính năng này. Vì thế, với điện thoại, cơ sở dữ liệu dấu vân tay của chính phủ vẫn còn chưa có tác dụng, song với những người dùng đã đăng nhập bằng dấu vân tay, họ đã mang lại cho cảnh sát một cách bẻ khóa dễ dàng. Như trường hợp vụ Los Angeles, chính phủ đang bắt đầu tận dụng điều đó.

Đó không chỉ là vấn đề với bọn tội phạm, mà với các phương pháp sinh trắc học nói chúng. Một khi các cơ quan chính phủ thu thập dấu vân tay, chúng sẽ không bao giờ là riêng tư nữa, nghĩa là chúng sẽ không bao giờ được an toàn thực sự. Chúng có thể bị lộ trong một vụ án xâm phạm dữ liệu. Và với những người mong chờ dấu vân tay sẽ thúc đẩy một kỷ nguyên mới trong bảo mật di động, đó là tin khủng khiếp. Dấu vân tay có thể là mật khẩu cá nhân, hoặc là ID của chính phủ, nhưng không thể là cả hai. Trong trường hợp này, có lẽ chính phủ đã chọn trước rồi.

Hoàng Lan

http://www.theverge.com/2016/5/2/11540962/iphone-samsung-fingerprint-duplicate-hack-security