Các chuyên gia của Phòng Nghiên
cứu bảo mật SRL (Đức) tuyên bố họ đã tìm được cách qua mặt công cụ quét
vân tay của S5 bằng vân tay giả.
Theo lời SRL thì cơ chế bảo mật mà Samsung trang bị cho S5 là chưa đủ mạnh, bởi họ có thể đánh lừa bộ cảm biến vân tay một cách không quá khó khăn.
Trong một đoạn video ghi lại quy trình hack, một chuyên gia của SRL đã trình diễn cách qua mặt S5 bằng việc sử dụng một mẫu vân tay giả được tái tạo theo ảnh chụp dấu vân tay gốc lưu lại trên màn hình smartphone. Cũng bằng kỹ xảo này mà năm ngoái, các chuyên gia bảo mật đã qua mặt được máy quét vân tay của iPhone 5S.
Tuy nhiên, S5 bị một điểm trừ rất nặng bởi máy quét vân tay của con dế này cho phép thử sai nhiều lần mà không đòi hỏi phải nhập mật khẩu để xác thực. Do đó, nếu đủ kiên nhẫn, kẻ tấn công sẽ có thể thử lần lượt nhiều mẫu vân tay giả khác nhau cho tới khi truy cập được vào điện thoại mới thôi.
Bên cạnh đó, vân tay của Galaxy S5 còn có thể được sử dụng trong một số ứng dụng và dịch vụ đòi hỏi tính bảo mật. Do vậy, sau khi đột nhập thành công vào máy, hacker sẽ có thể mở một ứng dụng như PayPal mà không vấp phải bất cứ cơ chế xác thực hay bảo mật nào khác.
SRLabs là một hãng chuyên nghiên cứu và tư vấn về bảo mật có trụ sở tại Berlin. Hãng này đã điều tra nhiều vấn đề liên quan đến bảo mật trên các mạng di động, thẻ SIM, thiết bị thanh toán, v..v...
"Dù là một trong những tính năng đinh của một smartphone đầu bảng trên thị trường, nhưng rõ ràng cơ chế xác thực vân tay của Samsung vẫn còn rất nhiều khiếm khuyết, cần được khắc phục", SRL khẳng định. "Tính năng này đã làm dấy thêm nhiều lo ngại về bảo mật cho người dùng".
'
Sau phát hiện của SRL, phía PayPal đã ra thông cáo khẳng định dù "xem xét rất nghiêm túc về thông tin của SRL", họ vẫn tin tưởng rằng xác thực vân tay là phương thức thanh toán di động đơn giản và an toàn hơn mật khẩu hay thẻ tín dụng. PayPal không bao giờ lưu trữ hay thậm chí là truy cập vào dấu vân tay "chính chủ" được Galaxy S5 xác thực. Việc quét vân tay chỉ mở khóa một chìa khóa mã an ninh có chức năng thay thế mật khẩu dành cho điện thoại. Chúng tôi có thể dễ dàng vô hiệu mã này nếu thiết bị bị mất hoặc đánh cắp, đồng thời cho phép người dùng thiết lập một mã mới. Ngoài ra, PayPal tuyên bố họ cũng sử dụng nhiều công cụ chống lừa đảo và quản trị rủi ro tân tiến để ngăn chặn lừa đảo "trước cả khi chúng diễn ra".
Hiện phía Samsung chưa đưa ra bất cứ bình luận nào về phát ngôn của SRL.
Y Lam
Theo lời SRL thì cơ chế bảo mật mà Samsung trang bị cho S5 là chưa đủ mạnh, bởi họ có thể đánh lừa bộ cảm biến vân tay một cách không quá khó khăn.
Trong một đoạn video ghi lại quy trình hack, một chuyên gia của SRL đã trình diễn cách qua mặt S5 bằng việc sử dụng một mẫu vân tay giả được tái tạo theo ảnh chụp dấu vân tay gốc lưu lại trên màn hình smartphone. Cũng bằng kỹ xảo này mà năm ngoái, các chuyên gia bảo mật đã qua mặt được máy quét vân tay của iPhone 5S.
Tuy nhiên, S5 bị một điểm trừ rất nặng bởi máy quét vân tay của con dế này cho phép thử sai nhiều lần mà không đòi hỏi phải nhập mật khẩu để xác thực. Do đó, nếu đủ kiên nhẫn, kẻ tấn công sẽ có thể thử lần lượt nhiều mẫu vân tay giả khác nhau cho tới khi truy cập được vào điện thoại mới thôi.
Bên cạnh đó, vân tay của Galaxy S5 còn có thể được sử dụng trong một số ứng dụng và dịch vụ đòi hỏi tính bảo mật. Do vậy, sau khi đột nhập thành công vào máy, hacker sẽ có thể mở một ứng dụng như PayPal mà không vấp phải bất cứ cơ chế xác thực hay bảo mật nào khác.
SRLabs là một hãng chuyên nghiên cứu và tư vấn về bảo mật có trụ sở tại Berlin. Hãng này đã điều tra nhiều vấn đề liên quan đến bảo mật trên các mạng di động, thẻ SIM, thiết bị thanh toán, v..v...
"Dù là một trong những tính năng đinh của một smartphone đầu bảng trên thị trường, nhưng rõ ràng cơ chế xác thực vân tay của Samsung vẫn còn rất nhiều khiếm khuyết, cần được khắc phục", SRL khẳng định. "Tính năng này đã làm dấy thêm nhiều lo ngại về bảo mật cho người dùng".
'
Sau phát hiện của SRL, phía PayPal đã ra thông cáo khẳng định dù "xem xét rất nghiêm túc về thông tin của SRL", họ vẫn tin tưởng rằng xác thực vân tay là phương thức thanh toán di động đơn giản và an toàn hơn mật khẩu hay thẻ tín dụng. PayPal không bao giờ lưu trữ hay thậm chí là truy cập vào dấu vân tay "chính chủ" được Galaxy S5 xác thực. Việc quét vân tay chỉ mở khóa một chìa khóa mã an ninh có chức năng thay thế mật khẩu dành cho điện thoại. Chúng tôi có thể dễ dàng vô hiệu mã này nếu thiết bị bị mất hoặc đánh cắp, đồng thời cho phép người dùng thiết lập một mã mới. Ngoài ra, PayPal tuyên bố họ cũng sử dụng nhiều công cụ chống lừa đảo và quản trị rủi ro tân tiến để ngăn chặn lừa đảo "trước cả khi chúng diễn ra".
Hiện phía Samsung chưa đưa ra bất cứ bình luận nào về phát ngôn của SRL.
Y Lam
0 comments:
Post a Comment