Các thiết bị đeo tay thông minh có thể tiết lộ bí mật của bạn

15:31 | 20/07/2016 | LỖ HỔNG ATTT

Các nhà khoa học khuyến cáo không nên đeo đồng hồ thông minh khi đi giao dịch ATM hay vào phòng máy chủ, vì một cách đánh cắp mã PIN của bạn thông qua mã độc nhiễm vào đồng hồ thông minh – với độ chính xác lên tới 80% trong lần đầu tiên và hơn 90% sau ba lần thử, đã bị phát hiện

Các thiết bị đeo tay thông minh có thể tiết lộ bí mật của bạn

5 nhà nghiên cứu của các trường đại học Birmingham, Stevens Institute of Technology (New Jersey) vừa chứng minh rằng, ngay cả những cử động tay nhỏ nhất của người đeo thiết bị thông minh khi nhập mã PIN cũng có thể được ghi lại bởi mã độc trong đồng hồ thông minh. Những dữ liệu đó có thể được phân tích để tìm ra mã PIN của bạn. Việc theo dõi các cử động tiếp theo có thể giúp cho độ chính xác của việc đoán mã tăng lên hơn 90%.

Các nhà nghiên cứu cho biết họ đã thử nghiệm hơn 5000 lần nhập PIN ở ATM và các hệ thống khác. 20 đối tượng đã đeo các kiểu thiết bị khác nhau trong 11 tháng, với các kiểu cảm biến chuẩn dùng trong các thiết bị thông minh, cho phép đo chính xác đến từng mili-mét khi người dùng nhập PIN.

Các thiết bị đeo có thể bị lợi dụng để theo dõi cử động của tay người dùng, từ đó giúp lần ra mã bí mật để truy cập ATM, khóa cửa điện tử và các máy chủ của doanh nghiệp. Trường đại học Birmingham nói rằng, đây là kỹ thuật đầu tiên thuộc loại này không cần đến dữ liệu ngữ cảnh về các thiết bị dùng để nhập PIN.

Có hai kịch bản tấn công có thể áp dụng: thực hiện tại chỗ và nghe lén. Với kịch bản tại chỗ, tin tặc truy cập cảm biến nhúng trong thiết bị đeo nhờ mã độc lây nhiễm từ trước. Nếu cài được mã độc vào thiết bị đeo tay, tin tặc có thể đặt một máy nghe lén không dây gần thiết bị nhập PIN để đọc dữ liệu Bluetooth do thiết bị đeo gửi sang điện thoại thông minh của người dùng.

Các nhà nghiên cứu đề xuất tạo thêm các dữ liệu nhiễu để gây khó cho tin tặc, đồng thời vẫn đảm bảo hỗ trợ các chức năng theo dõi việc rèn luyện sức khỏe của người dùng. Họ cũng đề xuất việc mã hóa tốt hơn thông tin truyền nhận giữa thiết bị đeo và điện thoại thông minh.

‹ › ×

Tin cùng chuyên mục

49 triệu khách hàng của Dell bị vi phạm dữ liệu

16:00 | 15/05/2024

Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.