Cơ chế tấn công BrutePrint
Kỹ thuật tấn công này được gọi là “BrutePrint”, đây là sự kết hợp giữa tấn công Brute Force và Fingerprinting, khi bỏ qua các giới hạn được đưa ra để chống lại các nỗ lực xác thực sinh trắc học không thành công bằng cách khai thác hai lỗ hổng zero-day trong khung xác thực vân tay trên điện thoại thông minh (SFA). Hai lỗ hổng này là “Cancel-After-Match-Fail” (CAMF) và “Match-After-Lock” (MAL), lợi dụng lỗi logic trong khung xác thực, phát sinh do không đủ khả năng bảo vệ dữ liệu dấu vân tay trên Giao diện ngoại vi nối tiếp (SPI) của cảm biến dấu vân tay.
Trong một phân tích kỹ thuật, hai nhà nghiên cứu Yu Chen và Yiling He cho biết, kết quả là một cách thức tiếp cận phần cứng để thực hiện những cuộc tấn công Man-in-the-Middle (MitM) nhằm chiếm quyền điều khiển hình ảnh dấu vân tay. BrutePrint đóng vai trò trung gian giữa cảm biến dấu vân tay và Môi trường thực thi đáng tin cậy (TEE - Trusted Execution Environment). Mục tiêu cốt lõi của BrutePrint là có thể thực hiện gửi hình ảnh dấu vân tay không giới hạn cho đến khi có kết quả trùng khớp với dấu vân tay của người dùng. Tuy nhiên, nó giả định rằng một tác nhân đe dọa đã sở hữu thiết bị mục tiêu được đề cập.
Lỗ hổng đầu tiên khiến cuộc tấn công có thể xảy ra là CAMF, lỗ hổng này cho phép tăng khả năng chịu lỗi của hệ thống bằng cách vô hiệu hóa kiểm tra của dữ liệu vân tay, do đó cho phép tin tặc có thể thử số lần không giới hạn. Trong khi đó với MAL, nó lợi dụng một kênh kề để suy ra kết quả hình ảnh vân tay trùng khớp trên thiết bị mục tiêu, ngay cả khi thiết bị đã chuyển sang chế độ khóa sau nhiều lần đăng nhập thất bại.
“Mặc dù chế độ khóa được kiểm tra thêm ở trong Keyguard để vô hiệu hóa mở khóa, nhưng kết quả xác thực lại được thực hiện bởi TEE. Vì kết quả xác thực thành công được gửi lại ngay lập tức khi có mẫu phù hợp, nên các cuộc tấn công kênh kề có thể suy kết quả ra từ các hành vi như thời gian phản hồi và số hình ảnh thu được”, các nhà nghiên cứu giải thích.
Để mở rộng phạm vi phân tích, các nhà nghiên cứu đã thử nghiệm trên 10 mẫu thiết bị khác nhau từ Apple, Huawei, OnePlus, OPPO, Samsung, Xiaomi và Vivo, kết quả cho thấy có thể thử vô số lần để phá vỡ dấu vân tay trên Android và HarmonyOS. Đối với các thiết bị iOS, họ đã thử nghiệm thành công 10 lần trong tổng số 15 lần thử.
Mặc dù đáng lo ngại, nhưng các nhà nghiên cứu cho rằng đây là một cách khai thác mới và chưa có dấu hiệu đã xảy ra trong thực tế. Tuy nhiên, đây vẫn là một lỗ hổng bảo mật mà người dùng cần chú ý.
Những phát hiện này được đưa ra khi một nhóm các học giả trình bày chi tiết về kênh kề lai tận dụng “sự đánh đổi ba chiều giữa tốc độ thực hiện (nghĩa là tần suất), mức điện năng tiêu thụ và nhiệt độ” trong hệ thống trên một vi mạch (SoC) hiện đại và GPU để tiến hành các cuộc tấn công đánh cắp pixel trên trình duyệt và các cuộc tấn công sniffing (nghe lén) trong lịch sử đối với phiên bản Chrome 108 và Safari 16.2.
Cuộc tấn công còn được gọi là Hot Pixels, tận dụng hành vi này để thực hiện các cuộc tấn công vân tay trình duyệt (website fingerprinting) và sử dụng mã JavaScript để thu thập dữ liệu người dùng. Điều này được thực hiện bằng cách thiết kế bộ lọc SVG nặng về tính toán để lộ màu pixel, bằng cách đo thời gian kết xuất và lén lút thu thập thông tin với độ chính xác cao lên tới 94%. Apple, Google, Intel, Nvidia, Qualcomm sau đó đã ghi nhận về vấn đề này. Các nhà nghiên cứu cũng khuyến khích cấm áp dụng bộ lọc SVG cho các iframe hay siêu liên kết và ngăn truy cập không đặc quyền vào các bản đọc cảm biến.
Để giảm thiểu nguy cơ bị tấn công, các nhà sản xuất điện thoại di động cần tăng cường bảo mật cho cảm biến vân tay trên thiết bị của họ, bên cạnh đó người dùng cũng nên tăng cường bảo mật bằng cách thiết lập mật khẩu mạnh, sử dụng tính năng xác thực hai yếu tố và chỉ tải xuống ứng dụng từ những nguồn đáng tin cậy.
Trong một lưu ý liên quan, Intel CPU cũng đã được phát hiện dễ bị tấn công kênh kề sử dụng các biến thể về thời gian thực thi, bằng cách thay đổi thanh ghi EFLAGS trong quá trình thực thi tạm thời để giải mã dữ liệu mà không cần dựa vào bộ nhớ đệm.
Lê Thị Bích Hằng
(The Hacker News)
08:00 | 22/03/2023
16:00 | 27/09/2024
09:00 | 06/06/2023
13:00 | 09/05/2023
07:00 | 05/07/2023
10:00 | 05/06/2024
17:00 | 05/05/2023
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
09:00 | 29/10/2024
Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024