Cơ chế tấn công BrutePrint
Kỹ thuật tấn công này được gọi là “BrutePrint”, đây là sự kết hợp giữa tấn công Brute Force và Fingerprinting, khi bỏ qua các giới hạn được đưa ra để chống lại các nỗ lực xác thực sinh trắc học không thành công bằng cách khai thác hai lỗ hổng zero-day trong khung xác thực vân tay trên điện thoại thông minh (SFA). Hai lỗ hổng này là “Cancel-After-Match-Fail” (CAMF) và “Match-After-Lock” (MAL), lợi dụng lỗi logic trong khung xác thực, phát sinh do không đủ khả năng bảo vệ dữ liệu dấu vân tay trên Giao diện ngoại vi nối tiếp (SPI) của cảm biến dấu vân tay.
Trong một phân tích kỹ thuật, hai nhà nghiên cứu Yu Chen và Yiling He cho biết, kết quả là một cách thức tiếp cận phần cứng để thực hiện những cuộc tấn công Man-in-the-Middle (MitM) nhằm chiếm quyền điều khiển hình ảnh dấu vân tay. BrutePrint đóng vai trò trung gian giữa cảm biến dấu vân tay và Môi trường thực thi đáng tin cậy (TEE - Trusted Execution Environment). Mục tiêu cốt lõi của BrutePrint là có thể thực hiện gửi hình ảnh dấu vân tay không giới hạn cho đến khi có kết quả trùng khớp với dấu vân tay của người dùng. Tuy nhiên, nó giả định rằng một tác nhân đe dọa đã sở hữu thiết bị mục tiêu được đề cập.
Lỗ hổng đầu tiên khiến cuộc tấn công có thể xảy ra là CAMF, lỗ hổng này cho phép tăng khả năng chịu lỗi của hệ thống bằng cách vô hiệu hóa kiểm tra của dữ liệu vân tay, do đó cho phép tin tặc có thể thử số lần không giới hạn. Trong khi đó với MAL, nó lợi dụng một kênh kề để suy ra kết quả hình ảnh vân tay trùng khớp trên thiết bị mục tiêu, ngay cả khi thiết bị đã chuyển sang chế độ khóa sau nhiều lần đăng nhập thất bại.
“Mặc dù chế độ khóa được kiểm tra thêm ở trong Keyguard để vô hiệu hóa mở khóa, nhưng kết quả xác thực lại được thực hiện bởi TEE. Vì kết quả xác thực thành công được gửi lại ngay lập tức khi có mẫu phù hợp, nên các cuộc tấn công kênh kề có thể suy kết quả ra từ các hành vi như thời gian phản hồi và số hình ảnh thu được”, các nhà nghiên cứu giải thích.
Để mở rộng phạm vi phân tích, các nhà nghiên cứu đã thử nghiệm trên 10 mẫu thiết bị khác nhau từ Apple, Huawei, OnePlus, OPPO, Samsung, Xiaomi và Vivo, kết quả cho thấy có thể thử vô số lần để phá vỡ dấu vân tay trên Android và HarmonyOS. Đối với các thiết bị iOS, họ đã thử nghiệm thành công 10 lần trong tổng số 15 lần thử.
Mặc dù đáng lo ngại, nhưng các nhà nghiên cứu cho rằng đây là một cách khai thác mới và chưa có dấu hiệu đã xảy ra trong thực tế. Tuy nhiên, đây vẫn là một lỗ hổng bảo mật mà người dùng cần chú ý.
Những phát hiện này được đưa ra khi một nhóm các học giả trình bày chi tiết về kênh kề lai tận dụng “sự đánh đổi ba chiều giữa tốc độ thực hiện (nghĩa là tần suất), mức điện năng tiêu thụ và nhiệt độ” trong hệ thống trên một vi mạch (SoC) hiện đại và GPU để tiến hành các cuộc tấn công đánh cắp pixel trên trình duyệt và các cuộc tấn công sniffing (nghe lén) trong lịch sử đối với phiên bản Chrome 108 và Safari 16.2.
Cuộc tấn công còn được gọi là Hot Pixels, tận dụng hành vi này để thực hiện các cuộc tấn công vân tay trình duyệt (website fingerprinting) và sử dụng mã JavaScript để thu thập dữ liệu người dùng. Điều này được thực hiện bằng cách thiết kế bộ lọc SVG nặng về tính toán để lộ màu pixel, bằng cách đo thời gian kết xuất và lén lút thu thập thông tin với độ chính xác cao lên tới 94%. Apple, Google, Intel, Nvidia, Qualcomm sau đó đã ghi nhận về vấn đề này. Các nhà nghiên cứu cũng khuyến khích cấm áp dụng bộ lọc SVG cho các iframe hay siêu liên kết và ngăn truy cập không đặc quyền vào các bản đọc cảm biến.
Để giảm thiểu nguy cơ bị tấn công, các nhà sản xuất điện thoại di động cần tăng cường bảo mật cho cảm biến vân tay trên thiết bị của họ, bên cạnh đó người dùng cũng nên tăng cường bảo mật bằng cách thiết lập mật khẩu mạnh, sử dụng tính năng xác thực hai yếu tố và chỉ tải xuống ứng dụng từ những nguồn đáng tin cậy.
Trong một lưu ý liên quan, Intel CPU cũng đã được phát hiện dễ bị tấn công kênh kề sử dụng các biến thể về thời gian thực thi, bằng cách thay đổi thanh ghi EFLAGS trong quá trình thực thi tạm thời để giải mã dữ liệu mà không cần dựa vào bộ nhớ đệm.
Lê Thị Bích Hằng
(The Hacker News)
09:00 | 06/06/2023
08:00 | 22/03/2023
13:00 | 09/05/2023
07:00 | 05/07/2023
17:00 | 05/05/2023
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
10:00 | 22/11/2023
Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024