Tin tặc có thể đoán mã PIN bảo mật điện thoại bằng cách thu thập dữ liệu từ các bộ cảm biến
Ngày đăng: 27/12/2017
Các nhà nghiên cứu đã thử nghiệm thành công việc mở khóa điện thoại thông minh sử dụng hệ điều hành Android với độ chính xác 99,5%. Phương pháp này, dựa trên việc sử dụng thông tin thu thập được từ sáu cảm biến khác nhau (gia tốc kế, con quay hồi chuyển, điện dung, tiệm cận, ánh sáng, vân tay) của những chiếc điện thoại thông minh và kết hợp các thuật toán máy học tiên tiến nhất.

Tỷ lệ bẻ khóa hệ điều hành Android thành công cao nhất trước đó là 74% đối với bộ từ điển 50 mã số PIN phổ biến nhất, nhưng kỹ thuật của nhóm nghiên cứu NTU có thể dự đoán tất cả các trường hợp của bộ từ điển gồm 10.000 mã PIN kết hợp.

Tiến sĩ Shivam Bhasin, nhà khoa học nghiên cứu cấp cao của NTU tại Phòng thí nghiệm Temasek @ NTU, người đứng đầu nhóm nghiên cứu đã sử dụng dữ liệu thu thập được từ các bộ cảm biến trong một chiếc điện thoại thông minh để mô hình hoá tỷ lệ chính xác của nó.

Các nhà nghiên cứu cho rằng, công trình của họ sẽ làm nổi bật một lỗ hổng lớn trong bảo mật điện thoại thông minh, vì mặc định các bộ cảm biến của điện thoại không yêu cầu người sử dụng điện thoại cho phép và được sử dụng công khai cho tất cả các ứng dụng có thể truy cập.
Normal 0 false false false EN-US X-NONE X-NONE

Thí nghiệm được thực hiện như thế nào?

Normal 0 false false false EN-US X-NONE X-NONE

Nhóm nghiên cứu đã sử dụng điện thoại Android và cài đặt ứng dụng do họ thiết kế, ứng dụng này sẽ ngầm thực hiện việc thu thập dữ liệu từ sáu bộ cảm biến của thiết bị di động. Tiến sĩ Bhasin, người đã dành 10 tháng với các đồng nghiệp để thực hiện dự án, giải thích, "Khi bạn giữ điện thoại và nhập mã PIN bảo mật, ứng dụng sẽ thu thập cách điện thoại di chuyển dựa trên các bộ cảm biến. Và trên thực tế, ứng dụng của chúng tôi đã ghi nhận được: Khi bạn nhấn phím số 1, số 5 hoặc số 9 thì rất khác nhau. Cụ thể, khi nhấn phím số 1 bằng ngón tay cái của tay phải sẽ chặn ánh sáng nhiều hơn so với việc bạn ấn phím số 9”.

Trong thí nghiệm, 03 người sử dụng đã nhập một bộ số ngẫu nhiên gồm 70 số có bốn chữ số trên điện thoại. Sau khi thu thập dữ liệu, thuật toán phân lớp (classification algorithm) sẽ được sử dụng trong quá trình huấn luyện (trainning). Đồng thời, nó ghi nhận các phản ứng cảm biến có liên quan.

Được biết đến như là một phương pháp deep-learning, thuật toán phân lớp (classification algorithm) có thể cho các trọng số khác nhau tùy thuộc vào tính chất “quan trọng” của mỗi bộ cảm biến, tùy thuộc vào mức độ nhạy cảm của từng số với các số khác nhau đang được nhấn. Dựa vào điều này giúp loại bỏ các yếu tố mà nó đánh giá là ít quan trọng và tăng tỷ lệ thành công cho việc thu thập mã PIN.

Mặc dù mỗi cá nhân nhập PIN bảo mật trên điện thoại của họ rất khác nhau, các nhà khoa học cho thấy rằng khi dữ liệu được thu thập từ nhiều người, và kết hợp với việc huấn luyện dựa trên các thuật toán học máy tiên tiến thì qua thời gian, tỷ lệ thành công sẽ được cải thiện rất nhiều.

Vì vậy, mặc dù ứng dụng độc hại có thể không thể đoán đúng PIN ngay sau khi cài đặt, tuy nhiên, theo thời gian, kẻ tấn công có thể dựa trên dữ liệu thu thập từ hàng ngàn người dùng từ mỗi điện thoại của họ để xây dựng mô hình nhập PIN của họ và kích hoạt cuộc tấn công sau đó với tỷ lệ thành công cao hơn nhiều.

Giáo sư Gan Chee Lip, Giám đốc Phòng thí nghiệm Temasek @ NTU, cho biết: “Nghiên cứu này cho thấy các thiết bị di động cho dù được trang bị khả năng bảo mật mạnh như thế nào vẫn có thể bị tấn công bằng cách sử dụng một phần mềm độc hại, bởi vì dữ liệu cảm biến có thể bị điều hướng bởi các ứng dụng độc hại nhằm mục đích theo dõi hành vi của người dùng và giúp truy cập Thông tin về mã PIN và mật khẩu, v.v ...

Giáo sư Gan cũng cho biết: "Cùng với rủi ro bị rò rỉ mật khẩu, chúng tôi lo ngại rằng việc truy cập vào thông tin về cảm biến điện thoại có thể tiết lộ quá nhiều về hành vi của người dùng, điều này ảnh hưởng lớn đến tính riêng tư mà cả cá nhân và doanh nghiệp cần đặt biệt quan tâm. Chính vì thế, trong tương lai, chúng tôi sẽ khuyến cáo các hệ điều hành dành cho thiết bị di động nên hạn chế quyền truy cập vào sáu bộ cảm biến này, và cho phép người dùng có thể chủ động chọn các ứng dụng đáng tin cậy cần đến chúng.".

Để giữ các thiết bị di động an toàn, Tiến sĩ Bhasin khuyên người dùng phải có mã PIN có nhiều hơn bốn ký tự kết hợp cùng với các phương pháp xác thực khác như mật khẩu dùng một lần, xác thực hai yếu tố, dấu vân tay hoặc nhận diện khuôn mặt.

DUYDT

Normal 0 false false false EN-US X-NONE X-NONE

Tin liên quan

Trang 1 / 63 - 626 dòngFirstPrevNextLast v
Trang 1 / 63 - 626 dòngFirstPrevNextLast v

Các đơn vị đối tác

TRUNG TÂM PHÁT TRIỂN HẠ TẦNG CÔNG NGHỆ THÔNG TIN ĐÀ NẴNG

Giấy phép: Số 151/GP-TTĐT do Sở Thông tin và Truyền thông cấp ngày 15/4/2015.

Trưởng Ban biên tập: Nguyễn Thị Huyền Thu, Phó giám đốc Trung tâm Phát triển hạ tầng Công nghệ thông tin Đà Nẵng.

Trụ sở: Tòa nhà 02 Quang Trung, Phường Thạch Thang, Quận Hải Châu, Tp Đà Nẵng.

Điện thoại: 84.236.3888.666 Fax 84.236.3888.879 Email: iid@danang.gov.vn.