Không hài lòng với Face ID và các biện pháp bảo mật sinh trắc học khác? Các nhà nghiên cứu ở Buffalo, New York, vừa phát hiện ra cách nhận diện smartphone bằng cách xem xét chỉ một bức ảnh do smartphone đó chụp. Phát minh này mở ra các khả năng sử dụng smartphone – thay vì những bộ phận cơ thể – để thiết lập những đặc điểm nhận dạng nhằm dò tìm ra tội phạm mạng.
"Giống như bông tuyết, không có hai chiếc điện thoại nào hoàn toàn giống nhau. Mỗi thiết bị, dù của nhà sản xuất nào, cũng đều có thể được xác định thông qua một mô hình các lỗi hình ảnh hiển vi hiển thị trong mỗi bức ảnh mà nó chụp", Kui Ren, tác giả chính của nghiên cứu, cho biết. "Nó giống như việc nhận diện chiếc súng nào đã bắn viên đạn, ở đây chúng ta đang nhận diện xem chiếc camera smartphone nào đã chụp bức ảnh".
Công nghệ mới này sẽ được giới thiệu vào tháng Hai tới tại Hội nghị bảo mật mạng lưới 2018 ở California và hiện vẫn chưa được công bố. Tuy nhiên, nó có thể trở thành một phần của quá trình xác thực – như mã PIN và mật khẩu – mà người dùng sử dụng tại các máy ATM và các giao dịch online. Với những người bị đánh cắp nhận dạng cá nhân, nó có thể giúp ngăn tội phạm mạng dùng thông tin đó để mua sắm.
Mỗi chiếc camera khác biệt như thế nào?
Camera số được làm giống nhau. Tuy nhiên, những thiếu sót trong sản xuất tạo ra những khác biệt nhỏ trong cảm biến của mỗi máy ảnh. Những khác biệt này có thể tạo ra sự khác biệt trong một số triệu pixel cảm biến, khiến các màu có thể hơi sáng hơn hoặc tối hơn mức bình thường.
Điều này không rõ ràng với mắt thường, và sự khác biệt này tạo ra những bóp méo trong bức ảnh, hay gọi là các dạng nhiễu. Khi sử dụng các bộ lọc đặc biệt, các mức độ nhiễu hoàn toàn khác nhau với mỗi chiếc camera.
Những phân tích trên thường được dùng trong các ứng dụng khoa học pháp lý, chẳng hạn như giúp xử lý các vụ kiện vi phạm bản quyền liên quan đến ảnh. Tuy nhiên, nó vẫn chưa được áp dụng với lĩnh vực an ninh mạng – dù smartphone đã có ở khắp mọi nơi – bởi vì để chiết xuất được như thế, cần phải phân tích 50 bức ảnh do một chiếc camera chụp, và các chuyên gia nghĩ rằng người dùng sẽ không sẵn sàng cung cấp nhiều ảnh như thế. Ngoài ra, tội phạm mạng chuyên nghiệp cũng có thể làm giả mẫu bằng cách phân tích hình ảnh được chụp bằng chiếc smartphone mà nạn nhân đăng lên các trang web không đảm bảo.
Áp dụng vào an ninh mạng
Nghiên cứu mới đã giải quyết được những thách thức này. So với máy ảnh kỹ thuật số thông thường, cảm biến hình ảnh của điện thoại thông minh nhỏ hơn nhiều. Giảm sự khuếch đại không đồng đều của điểm ảnh và tạo ra một ảnh phản hồi không đồng nhất PRNU (Photo Response Non Uniformity, giống như ID của camera) mạnh hơn. Do đó, họ có thể khớp một bức ảnh với một chiếc điện thoại thông minh bằng cách sử dụng một bức ảnh thay vì 50 bức ảnh.
"Tôi nghĩ hầu hết mọi người cho rằng sẽ cần đến 50 bức ảnh để xác định camera của chiếc điện thoại thông minh. Nhưng nghiên cứu của chúng tôi cho thấy không phải như thế", Ren, một kỹ sư điện tử của IEEE (Viện kỹ sư điện và điện tử), đồng thời là nhà khoa học nổi tiếng của ACM (Hiệp hội các máy tính), cho biết.
Để ngăn chặn việc giả mạo, Ren đã thiết kế một giao thức như miêu tả dưới đây, nhằm dò ra và ngăn chặn hai kiểu tấn công.
Kui Ren, tác giả chính của nghiên cứu
Thứ nhất, khách hàng đăng ký với một doanh nghiệp - chẳng hạn như ngân hàng hoặc nhà bán lẻ - và cung cấp cho doanh nghiệp đó một bức ảnh làm tài liệu tham khảo.
Khi khách hàng bắt đầu giao dịch, nhà bán lẻ sẽ yêu cầu khách hàng (có thể thông qua một ứng dụng) chụp hai mã QR (một loại mã vạch có thông tin về giao dịch) có trên máy ATM, máy tính tiền hoặc màn hình khác.
Dùng ứng dụng, khách hàng gửi ảnh lại cho nhà bán lẻ, quét ảnh để đo PRNU của điện thoại. Nhà bán lẻ có thể phát hiện ra hành vi giả mạo vì PRNU của máy ảnh của kẻ tấn công sẽ làm thay đổi thành phần PRNU của bức ảnh.
Những tội phạm mạng chuyên nghiệp có thể sẽ loại bỏ PRNU khỏi thiết bị của họ. Nhưng giao thức của Ren có thể nhận ra điều này bởi vì mã QR bao gồm một tín hiệu cảm biến nhúng sẽ bị suy yếu do quá trình loại bỏ.
Giao dịch sẽ được chấp thuận hoặc bị từ chối dựa trên các thử nghiệm này.
Kết quả nghiên cứu
Giao thức này đã đánh bại ba trong số các chiến thuật phổ biến nhất mà bọn tội phạm mạng thường dùng. Đó là các cuộc tấn công giả mạo dấu vân tay, tấn công trung gian, tấn công phát lại (replay attack). Mức độ chính xác lên đến 99,5% trong các thử nghiệm liên quan đến 16.000 hình ảnh và 30 điện thoại iPhone 6 và 10 điện thoại Galaxy Note 5.
Theo trang Buffalo.edu, Ren dự định sẽ thí nghiệm với những smartphone hai máy ảnh, điều này có thể khiến cho các cuộc tấn công giả mạo khó khăn hơn.
Theo VnReview
Thêm bình luận