"Cú trượt chân" của Samsung và giới hạn của bảo mật sinh trắc học

Theo Bnews

04/11/2019 16:56:57

Sự thật là dấu vân tay và các phương pháp xác thực sinh trắc học khác đều có thiếu sót và người dùng smartphone chưa nên dựa vào chúng nếu họ thực sự quan tâm đến vấn đề bảo mật.

Samsung và giới hạn của bảo mật sinh trắc học

Sinh trắc học thường được coi là một biện pháp bảo mật an ninh hữu hiệu, nhất là trong thời đại công nghệ số. Một phần lý do là việc các cơ sở cần độ bảo mật cao đều ứng dụng những hệ thống kiểm soát truy cập sử dụng sinh trắc học (vân tay, mống mắt, gương mặt).

Một phần lý do khác là so với phương pháp mật khẩu truyền thống, cơ chế bảo mật sinh trắc học vừa có độ logic vừa yêu cầu thực thể của người dùng để tránh trường hợp tước quyền kiểm soát chỉ bằng mật khẩu.

Với những ưu điểm đó, nhiều hãng sản xuất điện thoại thông minh (smartphone) đã chi hàng triệu USD cho công nghệ bảo mật sinh trắc học để giúp sản phẩm của họ an toàn hơn cũng như biến nó trở thành yếu tố thu hút khách hàng.

Samsung Electronics cũng không phải ngoại lệ khi đưa ra hệ thống nhận diện vân tay siêu âm trên các sản phẩm cao cấp chủ lực (flagship) mới nhất gồm Galaxy Note 10/ Note 10+ và Galaxy S10/S10+/S10+ 5G của họ.

Nhưng chỉ với một chiếc vỏ điện thoại hoặc miếng dán màn hình rẻ tiền, hệ thống bảo mật này đã bị “vượt mặt”.

“Cú trượt chân” của Samsung

Trong một tuyên bố ngắn gọn, Samsung Electronics đã thừa nhận trong một số trường hợp, một miếng dán màn hình loại rẻ tiền hoặc vỏ điện thoại trong suốt bằng silicon có thể qua mặt được hệ thống nhận diện vân tay siêu âm trên các thiết bị cao cấp dòng Note 10 và Galaxy S10 của hãng.

Nói cách khác, không cần một máy in 3D cao cấp, một chiếc máy ảnh độ nét siêu chuẩn, hay khuôn cao su hoặc bất kỳ thứ phụ kiện hào nhoáng nào. Một chiếc vỏ điện thoại giá rẻ là tất cả những gì cần để mở khóa chiếc flagship của Samsung.

Samsung Electronics cho rằng lỗi này liên quan đến việc cảm biến vân tay siêu âm trang bị trong smartphone của họ nhận diện sai các hình dáng 3D của miếng dán silicon trên màn hình như dấu vân tay của người dùng.

Cũng vì sự cố này, hàng loạt ngân hàng tại Vương quốc Anh, Trung Quốc, Hàn Quốc và Israel đã tạm thời vô hiệu hóa hỗ trợ thanh toán bằng xác thực vân tay trên các dòng Galaxy S10 và Note10.

Trong tuyên bố, Samsung cam kết sẽ sớm đưa ra bản cập nhật phần mềm để “vá” lại lỗi này cho các khách hàng trên toàn thế giới. Samsung cũng khuyến cáo các khách hàng sở hữu Galaxy Note10/10+ và S10/S10+/S10 5G nên tháo bỏ miếng dán màn hình trên, xóa dấu vân tay hiện tại được lưu trên thiết bị trước khi điện thoại của họ nhận được bản cập nhật vá lỗi.

Đây có thể coi là một cú “trượt chân” đáng tiếc của Samsung Electronics sau những vấn đề mà mẫu smartphone gập Galaxy Fold đã gặp phải khi mới ra mắt. Tuy nhiên, lỗi này lại không quá đáng ngạc nhiên khi cân nhắc đến điểm yếu của bảo mật bằng sinh trắc học.

Giới hạn của bảo mật sinh trắc học

Sự thật là dấu vân tay và các phương pháp xác thực sinh trắc học khác đều có thiếu sót và người dùng smartphone chưa nên dựa vào chúng nếu họ thực sự quan tâm đến vấn đề bảo mật. Trong trường hợp này, mã PIN và mật khẩu vẫn tỏ ra là một phương thức xác thực an toàn và thuận tiện hơn.

Và có một số lý do tại sao mật khẩu kiểu cũ vẫn thích hợp hơn so với phương thức bảo mật bằng dấu vân tay, máy quét khuôn mặt hoặc máy quét võng mạc/mống mắt.

Đầu tiên, việc buộc ai đó mở khóa thiết bị của họ bằng dấu vân tay hoặc khuôn mặt tỏ ra dễ dàng hơn là buộc họ phải tiết lộ mật khẩu hoặc mã PIN. Như trong trường hợp smartphone Pixel 4 của Google, chỉ cần đặt thiết bị trước mặt người dùng khi họ đang ngủ là đã đủ để mở khóa smartphone của họ.

Trong những vấn đề liên quan đến pháp lý cũng tương tự. Ở một số trường hợp, người dùng không buộc phải cung cấp mật khẩu thiết bị vì những luật chống lại việc tự buộc tội. Nhưng họ hoàn toàn có thể bị buộc phải chạm vào một cảm biến hoặc nhìn vào điện thoại của mình, tương tự như cách họ có thể bị buộc phải cung cấp một mẫu khám nghiệm DNA. Hiện số người gặp phải vấn đề này vẫn tương đối ít, nhưng đây vẫn là một lý do chính đáng mà người dùng cân nhắc việc sử dụng bảo mật bằng sinh trắc học.

Tiếp đó, các bộ cảm biến và máy quét hoàn toàn có thể bị đột nhập bằng nhiều cách khác nhau. Với nhiều trường hợp, những thiết bị này đòi hỏi tin tặc phải có những thiết bị đắt tiền và đủ quyết tâm. Trong nhiều trường hợp khác, một hình ảnh chụp chính diện của chủ sở hữu hoặc một vỏ silicon đơn giản sẽ giúp tin tặc thành công.

Có lập luận rằng máy quét vân tay và gương mặt đã là đủ để bảo mật tốt cho 99% người dùng vì hầu hết sẽ không phải gặp những rủi ro nêu trên.

Nhưng hiện người dùng đang ngày càng sử dụng bảo mật sinh trắc học nhiều hơn, như sử dụng khuôn mặt và dấu vân tay để mở khóa tài khoản ngân hàng, ủy quyền thanh toán tại các cửa hàng và truy cập vào các ứng dụng bảo vệ mật khẩu như LastPass. Điều đó có đồng nghĩa là người dùng xây dựng danh tính kỹ thuật số của họ trên smartphone và nó sẽ đi theo họ cả trên Internet lẫn ngoài đời thực.

Khi điều đó xảy ra, mật khẩu truyền thống sẽ chứng minh chúng có một lợi thế lớn khác so với các phương thức xác thực sinh trắc học: chúng có thể chỉ được dùng một lần. Người dùng luôn có khả năng thay đổi mã PIN hoặc mật khẩu, nhưng điều gì xảy ra khi các đặc điểm vật lý khó có thể thay đổi như gương mặt hay vân tay của họ bị rò rỉ hoặc đánh cắp? Làm thế nào để người dùng “làm mới” dấu vân tay hoặc võng mạc của họ khi trường hợp đó xảy ra?

Người dùng có thể làm gì để tự bảo vệ?

Nếu bạn lo lắng về bảo mật cho smartphone của mình, có một vài điều đơn giản bạn có thể thực hiện để bảo vệ chính mình:

Chọn một phương thức xác thực an toàn (PIN hoặc mật khẩu) và sử dụng càng nhiều ký tự thì càng an toàn.

Tránh loại mật khẩu mô hình (pattern lock). Chúng dễ dàng bị theo dõi và nhái lại so với mã PIN hoặc mật khẩu đủ dài.

Vô hiệu hóa các tính năng như Smart Lock vốn giúp thiết bị giữ tình trạng mở khóa khi nó ở một số khu vực nhất định hoặc khi thiết bị Bluetooth được kết nối.

Tìm hiểu sự khác biệt giữa các phương pháp mở khóa bằng khuôn mặt - những phương pháp sử dụng tia laser hoặc hồng ngoại để quét khuôn mặt của bạn an toàn hơn so với các phương pháp dựa vào camera trước.

Bật chế độ Lockdown, vốn khả dụng trên các thiết bị chạy hệ điều hành Android Pie trở lên. Chế độ này sẽ giúp bạn có thể nhanh chóng vô hiệu hóa tất cả các phương thức mở khóa sử dụng đặc điểm sinh trắc học, trừ mã PIN hoặc mật khẩu.

Làm quen với các tính năng bảo mật riêng trên chiếc smartphone của bạn. Một số thiết bị có những tùy chọn như khả năng ẩn một số ứng dụng hoặc nội dung đằng sau dấu vân tay cụ thể.

Cuối cùng, hãy chọn mua thiết bị từ các nhà sản xuất có uy tín và thường xuyên cung cấp các bản cập nhật hệ thống và bảo mật.