Dù có cẩn thận như thế nào nhưng nhờ một phương pháp mới, tin tặc vẫn có thể đánh cắp mật khẩu hay mã PIN của bạn bằng cách lợi dụng các cảm biến theo dõi chuyển động có trên điện thoại. Cụ thể, một nhóm các nhà nghiên cứu không gian mạng tại Đại học Newcastle (Anh) đã chứng minh có cách cực kỳ dễ dàng để đánh cắp mã PIN bốn chữ số thông qua việc phân tích độ nghiêng và mức độ di chuyển của điện thoại khi bạn nhập số vào. Bạn có thể nghĩ chuyển động của điện thoại là ngẫu nhiên, nhưng rõ ràng nó vẫn có khuôn mẫu. Trong thử nghiệm, ở lần tiến hành đầu tiên, các chuyên gia đã có thể đoán mã PIN 4 chữ số với tỷ lệ chính xác vào khoảng 70%; cho đến lần phỏng đoán thứ 5, mức độ chính xác lên đến 100%.
Tiến sĩ Maryam Mehrnezhad, tác giả chính của nghiên cứu giải thích: "Hầu hết các điện thoại thông minh, máy tính bảng và các thiết bị đeo hiện có khác đều được trang bị nhiều bộ cảm biến, từ GPS, camera và microphone cho đến các bộ phận như là con quay hồi chuyển, cảm biến tiệm cận, NFC, cảm biến xoay và gia tốc. Tuy nhiên, bởi vì các ứng dụng di động và các trang web không cần xin phép người dùng quyền để truy cập vào hầu hết những cảm biến này, do đó, các chương trình độc hại có thể bí mật theo dõi dữ liệu thu được từ cảm biến và sử dụng nó để khám phá một loạt thông tin nhạy cảm về bạn như thời gian thực hiện cuộc gọi, hoạt động thể chất, thậm chí là các thao tác với màn hình cảm ứng, mã PIN và cả mật khẩu.
Đáng lo ngại hơn là đối với một số trình duyệt, chúng tôi nhận thấy nếu bạn mở một trang trên điện thoại hoặc máy tính bảng mà có chứa một trong những mã độc hại này, sau đó ví dụ như bạn truy cập vào dịch vụ tài khoản ngân hàng trực tuyến mà không đóng tab kia trước thì mọi thông tin mà bạn nhập vào đều bị theo dõi. Tệ hơn nữa, trong một số trường hợp, trừ khi bạn đóng chúng hoàn toàn, bằng không, chúng thậm chí còn có thể theo dõi điện thoại của bạn ngay khi đã khóa”.
Để tiến hành các thử nghiệm, nhóm nghiên cứu đã tạo ra một mạng nơ-ron nhân tạo với dữ liệu thu thập được từ những người dùng mã PIN để truy cập các tài khoản khác nhau. Sau đó, họ sử dụng một exploit viết bằng javascript với khả năng xâm nhập vào điện thoại thông qua trình duyệt trên thiết bị. Khi người dùng nhấp vào liên kết chứa mã độc này, nó đã có thể thu thập dữ liệu từ các cảm biến chuyển động. Sau phát hiện này, nhóm nghiên cứu cũng đã báo cáo cho các nhà sản xuất thiết bị cũng như nhà phát triển trình duyệt về lổ hỗng có thể được khai thác từ các cảm biến.
Apple và Firefox đã phát hành các bản vá để ngăn chặn việc thu thập dữ liệu từ cảm biến vào năm ngoái. Google được cho là cũng nhận biết về vấn đề này nhưng họ vẫn đang tìm kiếm giải pháp khắc phục. Các chuyên gia đến từ Đại học Newcastle hiện cũng đang mở rộng nghiên cứu của họ trên các thiết bị dõi sức khoẻ cá nhân, nơi được xem là kho báu dữ liệu từ cảm biến chuyển động. Mục đích của họ là tìm hiểu cách các cảm biến có thể theo dõi hoạt động của người dùng và những dữ liệu này có thể ảnh hưởng thế nào đến sự riêng tư của bạn.
Tiến sĩ Maryam Mehrnezhad, tác giả chính của nghiên cứu giải thích: "Hầu hết các điện thoại thông minh, máy tính bảng và các thiết bị đeo hiện có khác đều được trang bị nhiều bộ cảm biến, từ GPS, camera và microphone cho đến các bộ phận như là con quay hồi chuyển, cảm biến tiệm cận, NFC, cảm biến xoay và gia tốc. Tuy nhiên, bởi vì các ứng dụng di động và các trang web không cần xin phép người dùng quyền để truy cập vào hầu hết những cảm biến này, do đó, các chương trình độc hại có thể bí mật theo dõi dữ liệu thu được từ cảm biến và sử dụng nó để khám phá một loạt thông tin nhạy cảm về bạn như thời gian thực hiện cuộc gọi, hoạt động thể chất, thậm chí là các thao tác với màn hình cảm ứng, mã PIN và cả mật khẩu.
Đáng lo ngại hơn là đối với một số trình duyệt, chúng tôi nhận thấy nếu bạn mở một trang trên điện thoại hoặc máy tính bảng mà có chứa một trong những mã độc hại này, sau đó ví dụ như bạn truy cập vào dịch vụ tài khoản ngân hàng trực tuyến mà không đóng tab kia trước thì mọi thông tin mà bạn nhập vào đều bị theo dõi. Tệ hơn nữa, trong một số trường hợp, trừ khi bạn đóng chúng hoàn toàn, bằng không, chúng thậm chí còn có thể theo dõi điện thoại của bạn ngay khi đã khóa”.
Để tiến hành các thử nghiệm, nhóm nghiên cứu đã tạo ra một mạng nơ-ron nhân tạo với dữ liệu thu thập được từ những người dùng mã PIN để truy cập các tài khoản khác nhau. Sau đó, họ sử dụng một exploit viết bằng javascript với khả năng xâm nhập vào điện thoại thông qua trình duyệt trên thiết bị. Khi người dùng nhấp vào liên kết chứa mã độc này, nó đã có thể thu thập dữ liệu từ các cảm biến chuyển động. Sau phát hiện này, nhóm nghiên cứu cũng đã báo cáo cho các nhà sản xuất thiết bị cũng như nhà phát triển trình duyệt về lổ hỗng có thể được khai thác từ các cảm biến.
Apple và Firefox đã phát hành các bản vá để ngăn chặn việc thu thập dữ liệu từ cảm biến vào năm ngoái. Google được cho là cũng nhận biết về vấn đề này nhưng họ vẫn đang tìm kiếm giải pháp khắc phục. Các chuyên gia đến từ Đại học Newcastle hiện cũng đang mở rộng nghiên cứu của họ trên các thiết bị dõi sức khoẻ cá nhân, nơi được xem là kho báu dữ liệu từ cảm biến chuyển động. Mục đích của họ là tìm hiểu cách các cảm biến có thể theo dõi hoạt động của người dùng và những dữ liệu này có thể ảnh hưởng thế nào đến sự riêng tư của bạn.
Tham khảo: Popsci