Việc tích hợp Paypal khiến cho yếu điểm của Samsung thêm phần nghiêm trọng. Chỉ mất bốn ngày để các nhà nghiên cứu người Đức lừa được máy quét vân tay của Samsung Galaxy S5 chấp nhận một mẫu dấu vân tay đăng nhập thay vì một ngón tay thật.
Mặc dù xác thực dấu vân tay là một trong những tính năng hàng đầu trên mô hình trọng điểm mới của Samsung, cách thức của công ty là "đơn giản để thỏa mãn người dùng" SRLabs cho biết trong một video minh chứng về cuộc tấn công này đăng tải trên Youtube.
“Các nhà nghiên cứu ghi lại một dấu vân tay từ ngón tay thật sự trên S5, sau đó sử dụng mẫu dấu vân tay này để mở khóa S5 - một trong những cách thức tương tự được sử dụng để tấn công TouchID của Apple vào năm ngoái. Video cho thấy cách thức lừa bịp Samsung bằng cách sử dụng một mẫu vân tay được thực hiện theo các điều kiện phòng thí nghiệm, cách thức là chụp dấu vân tay lưu trên màn hình điện thoại thông minh”, SRLabs nói.
Dấu vân tay ẩn trên màn hình không thể ngay lập tức nhìn thấy bằng mắt thường, nhưng "có thể thấy được bằng việc sử dụng bột magiê, sau đó nhẹ nhàng chải trên bề mặt cứng và sáng bóng để chiếu sáng vật thể" theo trang web Explore Forensics phân tích.
“Yếu điểm của Samsung ngày càng nghiêm trọng hơn khi tích hợp với Paypal, cho phép người dùng xác thực các giao dịch và chuyển tiền bằng cách sử dụng máy quét dấu vân tay”, theo SRLabs. Việc tích hợp này cho phép một kẻ nghi vấn có một cơ hội lớn để tấn công điện thoại.
PayPal đã trấn an dư luận và cho rằng đây không phải là dấu vân tay cung cấp quyền truy cập vào dịch vụ của mình. “PayPal không bao giờ lưu giữ hay thậm chí truy cập đến dấu vân tay thực tế qua việc xác thực trên Galaxy S5. Việc quét làm lộ ra khóa mật mã an toàn, khóa này thay thế cho mật khẩu trên điện thoại. Chúng tôi chỉ đơn giản vô hiệu hóa khóa trên một điện thoại bị mất hoặc bị đánh cắp và tạo một khóa mới".
Xác thực dấu vân tay đã trở thành một tính năng của điện thoại thông minh hàng đầu kể từ khi xuất hiện trong iPhone 5S của Touch ID với một bộ cảm biến dấu vân tay được xây dựng trong nút home.
Touch ID đã bị tấn công vào năm ngoái bởi Câu lạc bộ máy tính có tên Chaos của Đức, bằng cách sử dụng bản sao của một dấu vân tay. Việc tấn công máy quét dấu vân tay của Samsung thành công một lần nữa đặt ra câu hỏi về tính hiệu quả của công nghệ này.
Theo SRLabs , sử dụng dấu vân tay có hai điểm yếu hơn so với sử dụng mật khẩu. Một là khi một dấu vân tay bị mất cắp, không có cách nào để thay đổi được. Để khắc phục điều này, dấu vân tay số hóa cần phải sử dụng công nghệ nào đó để khó có thể bị đánh cắp. Một điểm yếu nữa là người sử dụng để lại bản sao của dấu vân tay của họ ở khắp mọi nơi; bao gồm cả trên các thiết bị khác, tổ chức SRLabs nói trên trang web của mình.
“Sinh trắc học là giải pháp luôn có sự cân bằng về an ninh và tính thuận tiện, đó là trách nhiệm của nhà sản xuất khi thực hiện theo cách thức không đặt dữ liệu quan trọng của người sử dụng và tài khoản thanh toán vào những nơi có nguy cơ" SRLabs nói.
Mặc dù việc tấn công là nghiêm trọng nhưng nó không ảnh hưởng đến doanh số bán hàng của Galaxy S5.
"Hiện nay, đa số người tiêu dùng đều không nhận thức được vấn đề bảo mật cho điện thoại thông minh. Khi họ mua một điện thoại thông minh mới, vấn đề bảo mật không phải là câu hỏi đầu tiên mà họ nghĩ đến", Malik Saadi , Giám đốc thực hành của Trung tâm Nghiên cứu ABI cho biết .
Samsung vẫn chưa chính thức trả lời yêu cầu bình luận này.
Theo IDG News Service
Thêm bình luận