Các nhà nghiên cứu có thể bẻ khóa cảm biến vân tay trên smartphone và laptop với tỷ lệ thành công lên đến 80% chỉ với một chiếc máy in 3D, chi phí chưa đến 2.000 USD.
Kể từ khi cảm biến vân tay phát triển thành cơ chế mở khóa tiện lợi cho smartphone và laptop, rất nhiều loại hình tấn công đã được triển khai để đánh bại phương thức bảo mật này. Trên thực tế, việc tấn công và bẻ khóa cảm biến vân tay ít được quan tâm, vì chỉ mang lại lợi ích nhất định cho một số nhóm tin tặc có mục đích rõ ràng hoặc được đầu tư tài chính. Nghiên cứu gần đây cho thấy việc bẻ khóa có thể được thực hiện dễ dàng và đơn giản hơn nhiều so với trước đây, chi phí đầu tư cũng khá rẻ, nếu nắm được kỹ thuật thì ai cũng có thể thực hiện tại nhà.
Cụ thể, các nhà nghiên cứu từ trung tâm bảo mật Cisco Talos bẻ khóa cảm biến vân tay thành công với tỷ lệ trung bình lên đến 80% chỉ với một máy in 3D. Chi phí cho việc bẻ khóa chưa đến 2.000 USD. Họ nhấn mạnh rằng về cơ bản, cảm biến vân tay vẫn đang là giải pháp bảo vệ hiệu quả và an toàn trước các cuộc tấn công độc hại. Bởi vì kỹ thuật bẻ khóa yêu cầu phải có bản sao dấu vân tay của người dùng và quyền truy cập vật lý vào thiết bị.
“Không cần quá nhiều tiền để đánh bại phương pháp bảo mật bằng vân tay của hầu hết các hãng sản xuất smartphone. Hiện tại công nghệ in 3D tại nhà đã đạt đến độ phân giải cao, khiến dấu vân tay kém an toàn hơn so với 10 năm trước. Điều đáng lo là mọi người đều có thể mua và sử dụng máy in tại nhà. Nhưng thực tế công nghệ bảo mật vân tay vẫn là một phương pháp an toàn, vì để bẻ khóa, bạn cần phải thu thập được dấu vân tay để làm bản in”, Craig Williams, đại diện của Talos cho biết.
Các nhà nghiên cứu đã thử nghiệm ba trường hợp khác nhau để thu thập dấu vân tay. Cách một là dùng khuôn lấy trực tiếp dấu vân tay của mục tiêu. Trường hợp hai là sử dụng dữ liệu cảm biến thu thập từ máy quét giống ở những cửa khẩu biên giới. Tình huống thứ ba là thu dấu vân tay từ các vật thể mà người dùng từng cầm nắm.
Để đúc khuôn, các chuyên gia sử dụng máy in 3D tia cực tím. Đây là loại máy in giá rẻ, chuyên xử lý phần nhựa dẻo tạo hình bằng ánh sáng tia cực tím. Họ thử nghiệm trên nhiều loại chất liệu khác nhau, trong đó có sillicone để tạo ra bản in hoàn chỉnh. Bản in thành công cao nhất khi đúc bằng bản in bằng keo dán vải.
Để cảm biến có thể nhận dạng dấu vân tay như trên ngón tay thật, các nhà nghiên cứu đã thiết kế mô hình vân tay tương tự như một chiếc găng tay, ai cũng có thể đeo vào và ngụy trang như vân tay thật.
Phương pháp bẻ khóa này đã đặt ra một bài toán mới cho các nhà sản xuất thiết bị thông minh. Họ buộc phải lựa chọn giữa tính bảo mật và tiện dụng, vì nếu cảm biến được thiết lập chống các dấu vân tay giả một cách hiệu quả thì đôi khi thiết bị sẽ hiểu lầm và từ chối mở khóa với cả dấu vân tay chính chủ. Trên điện thoại thông minh và smartphone, đôi khi sự bất tiện này sẽ khiến người dùng chọn phương pháp bảo mật khác thay cho cảm biến vân tay. Ngược lại, cảm biến độ bảo mật quá kém sẽ khiến trẻ em dễ truy cập vào thiết bị của bố mẹ, hoặc một số trường hợp khác tồi tệ hơn.
Một thiết bị cao cấp chưa chắc đã được trang bị cảm biến vân tay tốt. Các nhà nghiên cứu không thể vượt qua cảm biến vân tay của chiếc smartphone tầm trung Samsung Galaxy A70, nhưng lại có thể xâm nhập được vào mẫu flagship Galaxy S10. Họ không thể đánh lừa hệ thống Windows Hello trên Windows 10 nhưng lại bẻ khóa được Touch ID của MacBook Pro.
Trên MacBook Pro 2018, nhóm nghiên cứu đã thành công đến 95% với bản in vân tay trực tiếp, 93% với bản in vân tay lấy từ máy quét và 60% với dấu vân tay thu thập từ các vật dụng đối tượng từng cầm nắm qua.
Tuy nhiên, các nhà nghiên cứu lưu ý việc giới hạn số lượt quét vân tay trên các thiết bị của Apple là biện pháp hiệu quả bảo vệ người dùng chống lại phương thức tấn công này.
Nhóm Cisco Talos đã tiết lộ phát hiện cho những nhà sản xuất thiết bị. Tuy nhiên họ cho rằng vấn đề này không được xem là lỗ hổng bảo mật mới. Nghiên cứu lần này chỉ dựa trên những hạn chế có sẵn của hệ thống cảm biến vân tay, đồng thời khẳng định phải tiếp tục xem xét vấn đề này một cách nghiêm túc và kỹ lưỡng hơn.