Các chuyên gia bảo mật khuyến nghị người dùng tiền điện tử đang tìm kiếm một tùy chọn an toàn hơn hãy chọn iPhone.
Một nghiên cứu gần đây của các nhà khoa học Trung Quốc đã phát hiện ra một phương pháp có tên BrutePrint cho phép mở khóa hầu hết mọi điện thoại thông minh được bảo vệ bằng dấu vân tay dựa trên Android.
Phương pháp này cho phép mở khóa khóa di động bằng các cuộc tấn công vũ phu hoặc bằng cách sử dụng một loại 'dấu vân tay ảo'.
Bạn có thể đọc bản tóm tắt của bài viết nghiên cứu này dưới đây.
Tiêu đề bài nghiên cứu: BRUTEPRINT: Khiến xác thực vân tay trên điện thoại thông minh dễ bị tấn công Brute Force
Tóm tắt tài liệu nghiên cứu: Xác thực vân tay đã trở thành một biện pháp bảo mật phổ biến trên điện thoại thông minh bên cạnh xác thực mật khẩu truyền thống. Tuy nhiên, nghiên cứu gần đây đã phát hiện ra một điểm yếu đáng kể trong hệ thống xác thực dấu vân tay trên điện thoại thông minh. Trong bài viết này, chúng tôi trình bày một phương pháp có tên BRUTEPRINT giúp xác thực dấu vân tay của điện thoại thông minh trước các cuộc tấn công vũ phu.
Nghiên cứu của chúng tôi cho thấy các biện pháp bảo mật hiện tại, chẳng hạn như phát hiện sự sống và giới hạn thử, là không đủ để giảm thiểu rủi ro về các cuộc tấn công bạo lực trong xác thực dấu vân tay. BRUTEPRINT hoạt động như một trung gian cho phép các cuộc tấn công vũ phu thành công trên điện thoại thông minh có sẵn bằng cách bỏ qua các giới hạn dùng thử và chụp ảnh dấu vân tay.
Để đạt được điều này, chúng tôi khai thác hai cách khai thác zero-day trong khung xác thực dấu vân tay của điện thoại thông minh. Bằng cách tận dụng tính đơn giản của giao thức SPI, chúng tôi đã vượt qua thành công các giới hạn kiểm tra và phát hiện sự sống, đồng thời cho phép chấp nhận dấu vân tay giả.
Để xác thực những phát hiện của mình, chúng tôi tiến hành đánh giá toàn diện BRUTEPRINT trên 10 điện thoại thông minh được chọn đại diện từ 5 nhà cung cấp hàng đầu và trên nhiều ứng dụng như khóa màn hình, thanh toán và quyền riêng tư. Kết quả cho thấy tất cả các điện thoại thông minh được thử nghiệm ngoại trừ iPhone đều dễ bị tấn công bằng dấu vân tay. Thời gian ngắn nhất để mở khóa điện thoại thông minh mà nạn nhân không hề biết trước được ước tính là 40 phút.
Do đó, chúng tôi đề xuất các biện pháp giảm thiểu phần mềm và phần cứng để giải quyết các lỗ hổng được BRUTEPRINT phát hiện và cải thiện tính bảo mật của hệ thống xác thực dấu vân tay trên điện thoại thông minh.
BRUTEPRINT là một phương pháp khiến xác thực dấu vân tay của điện thoại thông minh bị tấn công vũ phu. Phương pháp này cho phép mở khóa điện thoại bằng cách phá vỡ hệ thống khóa được sử dụng trong điện thoại thông minh Android được bảo vệ bằng dấu vân tay. Việc mở khóa thiết bị di động được thực hiện bằng cách sử dụng tấn công vũ phu hoặc dấu vân tay ảo.
Một nghiên cứu gần đây của các nhà nghiên cứu Trung Quốc đã tiết lộ phương pháp này được gọi là BRUTEPRINT. Phương pháp này quản lý để vượt qua các biện pháp bảo mật được sử dụng trong điện thoại thông minh được bảo vệ bằng dấu vân tay. Đặc biệt, các biện pháp như phát hiện sự sống và giới hạn thử nghiệm đều bị BRUTEPRINT phá vỡ.
Theo kết quả của nghiên cứu này, các chuyên gia bảo mật gợi ý rằng người dùng Android không nên lo lắng về tính bảo mật của điện thoại và nên cân nhắc sử dụng iPhone để đảm bảo tính bảo mật tốt hơn. Bởi vì iPhone có thể có các biện pháp bảo mật có thể bảo vệ tốt hơn trước các cuộc tấn công vũ phu như vậy.
Từ khóa: xác thực dấu vân tay, tấn công vũ phu, bảo mật điện thoại thông minh.
