Một phát hiện bất ngờ về lỗ hổng bảo mật chính là cảm biến chuyển động điện thoại thông minh được nhúng trong phần cứng của chúng.
Ngay cả khi bạn đã rất cẩn trọng trong vấn đề bảo mật khi sử dụng điện thoại và các thiết bị khác, vẫn có những rủi ro mà bạn không nhận ra. Các nhà nghiên cứu bảo mật thường xuyên tìm thấy những mối đe dọa mới cho phép tác nhân độc hại truy cập dữ liệu cá nhân của người dùng.
Một phát hiện bất ngờ về lỗ hổng bảo mật từ cảm biến chuyển động ở điện thoại thông minh được nhúng trong phần cứng của chúng. Những cảm biến này được thiết kế để phát hiện khi điện thoại di chuyển và được sử dụng. Nhưng chúng có thể bị sử dụng sai mục đích.
Các ứng dụng thu thập âm thanh từ cảm biến chuyển động của bạn
Các nhà nghiên cứu bảo mật gần đây đã chứng mình một lỗ hổng đáng sợ trong điện thoại Android. Cuộc tấn công này được gọi là Spearphone, có thể thu thập dữ liệu từ loa. Do đó, nó có khả năng nghe lén các cuộc hội thoại khi điện thoại được đặt gần đó. Nó sử dụng cảm biến chuyển động gia tốc kế, để đo gia tốc, độ nghiêng hoặc xoay thiết bị. Các ứng dụng vị trí như Google Maps sử dụng gia tốc kế để xác định vị trí của bạn.
Spearphone hoạt động bằng cách biến thành phần này thành một loại micro. Máy đo gia tốc được đặt trên cùng mặt phẳng với loa điện thoại, cho phép nó thu được tiếng vang do lời nói tạo ra. Khi ai đó sử dụng điện thoại của họ ở chế độ bật loa hoặc tương tác với trợ lý điện thoại thông minh như Google Assistant, gia tốc kế có thể ghi lại tiếng vang của giọng nói. Sau đó, kẻ tấn công có thể chuyển tiếp các bản ghi đến máy chủ của chúng.
Thông qua arXiv, những nhà nghiên cứu phát hiện ra lỗ hổng đã chứng minh phương thức nó hoạt động bằng cách tạo ra một ứng dụng Android độc hại. Sau đó, họ thử nghiệm ứng dụng này trên các thiết bị bao gồm LG G3, Samsung Galaxy S6 và Samsung Galaxy Note 4. Ứng dụng này có thể ghi âm lời nói bằng cách sử dụng gia tốc kế, gửi các bản ghi âm đến máy chủ mà các nhà nghiên cứu kiểm soát. Sau đó tự động phân tích bản ghi bằng phần mềm học máy.
Sử dụng dữ liệu được thu thập theo cách này, các nhà nghiên cứu có thể xác định giới tính của người nói trong 90% trường hợp và xác định chính xác người nói qua 80% thời gian.
Các ứng dụng sử dụng dữ liệu cảm biến chuyển động để tránh bị phát hiện
Theo báo cáo của Trend Micro, một nhóm các nhà nghiên cứu bảo mật khác nhau đã phát hiện ra 2 ứng dụng Android thực hiện việc này. Đó là Currency Converter và BatterySaverMobi, xuất hiện dưới dạng các công cụ hữu ích để chuyển đổi tiền tệ và theo dõi lượng pin điện thoại của bạn. Nhưng trên thực tế, chúng ẩn chứa một phần mềm độc hại ngân hàng có tên là Anubis, chuyên đánh cắp dữ liệu thẻ tín dụng và thông tin đăng nhập ngân hàng trực tuyến.
Những ứng dụng này đã lợi dụng cảm biến chuyển động để trốn tránh bị phát hiện. Khi các nhà nghiên cứu bảo mật tìm kiếm phần mềm độc hại, họ thường chạy thử nghiệm trên một hệ điều hành ảo được lưu trữ trên máy tính. Điều này có nghĩa là, các cảm biến chuyển động không cảm biến thấy bất kỳ chuyển động nào trong quá trình thử nghiệm .Nhưng khi người dùng cài đặt một ứng dụng trên di động, họ thường cầm điện thoại bên mình. Rõ ràng, điều này tạo ra rất nhiều chuyển động mà cảm biến nhận được.
Các ứng dụng độc hại kiểm tra sự dao động bằng cảm biến chuyển động. Nếu không phát hiện chuyển động, chúng hiểu rằng ứng dụng đang được thử nghiệm và không triển khai bất kỳ mã độc nào. Vì thế, các nhà nghiên cứu bảo mật sẽ không tìm thấy bất cứ điều gì khả nghi. Nhưng khi người dùng cài đặt ứng dụng và một trong các ứng dụng trên và bắt đầu di chuyển xung quanh, ứng dụng sẽ bật phần mềm độc hại và có thể bắt đầu đánh cắp dữ liệu của bạn.
Các ứng dụng sử dụng dữ liệu cảm biến chuyển động để lấy dấu vân tay của bạn
Một vấn đề bảo mật khác mà có thể bạn đã từng nghe nói đến là dấu vân tay trình duyệt. Đó là khi dữ liệu từ máy tính và trình duyệt của bạn được sử dụng để nhận dạng và theo dõi chính bạn. Ví dụ: Nó có thể hoạt động bằng cách xem các phần mở rộng trình duyệt khác nhau mà bạn đã cài đặt và phông chữ bạn dùng trên máy tính. Dữ liệu này có thể được sử dụng để xây dựng một bức tranh độc đáo về người dùng và theo dõi họ trên Internet.
Cả thiết bị iOS và Android đều có thể gặp rủi ro bảo mật từ việc sử dụng cảm biến chuyển động. Sử dụng một kỹ thuật có tên là SensorID, nó có thể tạo ra dấu vân tay bằng cách sử dụng con quay hồi chuyển và dữ liệu cảm biến từ kế từ điện thoại của bạn. Các cảm biến này được hiệu chỉnh theo một cách duy nhất cho mỗi người dùng, có nghĩa là họ có thể dựa vào đó để nhận ra bạn. Nếu ứng dụng hoặc trang web có quyền truy cập vào cảm biến chuyển động của người dùng, chúng có thể theo dõi khi họ sử dụng Internet.
Kỹ thuật này hoạt động ngay cả khi bạn thực hiện các biện pháp phòng ngừa bảo mật như sử dụng VPN hay dùng sang một trình duyệt khác. Đáng sợ hơn, nó vẫn tồn tại sau khi người dùng thực hiện khôi phục cài đặt gốc trên điện thoại. Nguyên nhân là do dấu vân tay hiệu chuẩn của cảm biến chuyển động của bạn không bao giờ thay đổi. Theo các nhà nghiên cứu, đây là một cuộc tấn công nhanh, chỉ chưa mất đến 1 giây để tạo ra dấu vân tay.
Cách bảo vệ chính mình khỏi các ứng dụng lạm dụng dữ liệu cảm biến chuyển động
Những cuộc tấn công này rất khó chống lại. Tuy nhiên, có một số bước mà bạn có thể thực hiện để bảo vệ bản thân khỏi các rủi ro bảo mật lạm dụng cảm biến chuyển động trên điện thoại.
Xem các quyền cần thiết trước khi cài đặt ứng dụng mới
Đầu tiên, hãy cẩn thận khi cấp quyền cho một ứng dụng nào đó. Khi bạn cài đăt một app mới từ Google Play, nó sẽ yêu cầu người dùng cho phép sử dụng các chức năng khác nhau trên điện thoại. Ví dụ ứng dụng camera sẽ yêu cầu quyền truy cập vào camera của di động.
Rất nhiều người dùng đồng ý cho phép các quyền mà không để ý và đây chính lúc rất dễ gặp các rủi lo bảo mật. Lần tới khi cài đặt một ứng dụng hay game mới trên điện thoại, hãy kiểm tra xem nó yêu cầu quyền gì. Nếu nó yêu cầu cho phép sử dụng cảm biến chuyển động của điện thoại, hãy tự hỏi xem nó cần quyền đó để làm gì. Nếu không có lý do chính đáng để ứng dụng cần phải truy cập quyền đó, đừng cài đặt.
Bảo vệ loa điện thoại của bạn
Thứ 2, nếu thực sự lo lắng về việc cảm biến chuyển động bị lạm dụng để nghe lỏm các cuộc hội thoại của bạn, người dùng có thể thực hiện nhiều hành động trực tiếp như thêm vật liệu chống rung xung quanh loa điện thoại để ngăn cảm biến chuyển động thu lại tiếng vang. Ngoài ra, tránh để điện thoại trên bề mặt phẳng, cứng như mặt bàn khi sử dụng loa. Việc này sẽ ngăn gia tốc kế lấy thông tin âm thanh.
Luôn cập nhật hệ điều hành cho điện thoại
Để bảo vệ chống lại rủi ro bảo mật dấu vân tay, cách tốt nhất là đảm bảo hệ điều hành điện thoại luôn được cập nhật, vì vấn đề này đã được giải quyết trong các hệ điều hành như iOS 12.2. Google cũng đã nhận thức được vấn đề và đang nỗ lực cập nhật hệ thống Android để bảo vệ người dùng.
Hãy luôn cảnh giác và bảo vệ thông tin của mình bằng cách sử dụng smartphone một cách thông minh. Hy vọng bài viết này sẽ có ích giúp bạn dùng điện thoại an toàn và bảo mật hơn!