Vô tình bẻ khóa điện thoại khi thay SIM

Thúy Liên06:44 15/11/2022

Chỉ mất vài phút, chuyên gia bảo mật bỏ qua được màn hình khóa, không cần nhập mật khẩu hay vân tay .

Anh được Google thưởng 70.000 USD vì phát hiện của mình.

Google đã mất đến 5 tháng để sửa lỗi. Ảnh: Android Central.

Chuyên gia an ninh mạng David Schtz vừa vô tình tìm ra cách bẻ khóa màn hình khóa trên chiếc Google Pixel 6 và Pixel 5 của mình bằng cách đổi SIM điện thoại. Theo anh, bất cứ ai cũng có thể vượt qua bước nhập mật khẩu hay mở khóa vân tay chỉ với vài phút cùng với 5 bước đơn giản.

Xuất hiện thông báo kỳ lạ sau khi khởi động lại

Cụ thể, anh đã vô tình tìm ra lỗ hổng của Google trong một lần chiếc Pixel 6 bị sụp nguồn vì cạn pin. Lúc đó, anh đang nhắn tin dở cho một người bạn nên đã nhanh chóng tìm cục sạc để mở nguồn điện thoại. Thiết bị nhanh chóng khởi động lại và hiển thị màn hình khóa, yêu cầu người dùng nhập mã PIN.

Nhưng David Schtz đột nhiên quên mất mật khẩu của mình nên đã nhập sai 3 lần và bị khóa SIM. Anh đã tìm mã bảo vệ sim (PUK) để nhập vào thiết bị và thiết lập thành công mã PIN mới. Song, điều kỳ lạ đã diễn ra.

Chiếc Pixel 6 đã tự khởi động lại nhưng thay vì hiện mã khóa thông thường, nó lại hiển thị biểu tượng vân tay, yêu cầu người dùng mở khóa bằng sinh trắc học. Schtz đã nhập vân tay và được thiết bị xác nhận là chính xác. Sau đó, màn hình điện thoại hiển thị dòng thông báo “Pixel is starting…” (Pixel đang khởi động) rất lạ và treo ở đó mãi cho đến khi anh tắt nguồn rồi bật lại.

Theo chuyên gia an ninh, điều này không bình thường vì với các thiết bị Android, sau mỗi lần khởi động lại, người dùng phải nhập mã PIN hoặc mật khẩu khóa để mở khóa thiết bị. Hiển thị yêu cầu nhập bảo mật vân tay là điều chưa từng xảy ra trước đây. “Tôi cảm thấy điều này rất lạ lùng, có thể là dấu hiệu cho thấy có lỗ hổng bảo mật nào đó”, Schtz nhớ lại.

Vô tình phát hiện lỗ hổng nghiêm trọng

Video đang HOT

Đến ngày hôm sau, anh lặp lại các bước tương tự, khởi động, nhập sai mã pin 3 lần, thiết lập mật khẩu mới bằng mã PUK và cuối cùng vẫn nhận lại thông báo “Pixel is starting…” treo trên màn hình như cũ. Chuyên gia tiếp tục thử lại nhiều lần cho đến một lần vô tình quên khởi động lại máy nhưng vẫn tạo mật khẩu mới bằng mã bảo vệ SIM như cũ.

Lúc này, chiếc smartphone thậm chí không yêu cầu nhập vân tay mà cho phép người dùng truy cập thẳng vào màn hình chính chỉ với mã bảo vệ SIM.

Màn hình bị treo, chỉ hiển thị thông báo “Pixel is starting”. Ảnh: David Schtz.

David Schtz rất bất ngờ trước hiện tượng lạ này và nhận ra mình đã bẻ khóa thành công chiếc Pixel 6 chỉ bằng cách thay SIM. Sau đó, anh đã thử lại trên Pixel 5 và kết quả vẫn không thay đổi, chiếc smartphone truy cập thẳng vào màn hình chính mà không cần nhập mã PIN.

Theo Bleeping Computer , lỗ hổng bảo mật này rất phổ biến, xuất hiện trên phiên bản Android 10, 11, 12 và 13. Sơ hở của Google cũng đồng nghĩa với việc các đối tượng xấu có thể dùng thẻ SIM bị khóa mã PIN của mình để xâm nhập trái phép vào điện thoại của người khác.

Họ chỉ cần đổi SIM trong máy thành SIM của mình và làm các bước tương tự Schtz, nhập sai mã khóa 3 lần, đổi mật khẩu bằng mã PUK là đã có thể truy cập vào điện thoại mà không có bất cứ trở ngại nào.

Google chậm sửa lỗi

Trên thực tế, các thiết bị chạy Android thường sử dụng nhiều lớp bảo mật chồng lên nhau như mã PIN, mã khóa vân tay, quét mặt… Một khi mở khóa thành công một lớp, các lớp còn lại sẽ được bỏ qua.

Do đó, nguyên nhân của hiện tượng kỳ lạ xuất hiện trên smartphone của David Schtz là vì hệ thống mã khóa trong điện thoại đã vô tình bị bỏ qua sau khi người dùng mở điện thoại bằng mã PUK.

Bất cứ ai cũng có thể truy cập vào smartphone mà không cần mã khóa nếu sử dụng phương pháp này. Ảnh: Bleeping Computer.

Điều này đã làm lớp màn hình bảo mật của mã PUK biến mất và cũng bỏ qua bước bảo mật tiếp theo bằng mã PIN. Nếu không có màn hình yêu cầu bảo mật nào xuất hiện, người dùng sẽ được chuyển trực tiếp vào màn hình chính, Bleeping Computer cho biết.

Chia sẻ trên blog cá nhân, Schtz nói rằng anh đã ngay lập tức báo lỗi cho Google từ tháng 6 và hy vọng rằng sẽ được nhận thưởng 100.000 USD vì đã phát hiện lỗ hổng bảo mật nghiêm trọng. Nhưng đã có một người phát hiện trước và báo lỗi cho hãng công nghệ nên anh sẽ không thể nhận tiền và công bố phát hiện của mình.

Một tháng sau, Schtz nhận ra lỗi này vẫn chưa được sửa nên đã yêu cầu Google vá lỗi trong thời gian sớm nhất. Cuối cùng, hãng công nghệ đã chính thức công bố bản vá lỗi số hiệu CVE-2022-20465 vào tháng 11, đồng thời thưởng Schtz 70.000 USD vì phát hiện của anh.

Cảnh báo: Máy ảnh nhiệt và AI có thể giúp tin tặc bẻ khóa mật khẩu của người dùng một cách dễ dàng

Một nghiên cứu mới đã tiết lộ cách bọn tội phạm có thể sử dụng camera nhiệt để truy xuất mật khẩu trên smartphone, máy tính và máy ATM.

Cảnh báo: máy ảnh nhiệt và AI có thể giúp tin tặc bẻ khóa mật khẩu của người dùng một cách dễ dàng (Ảnh: Peta Pixel)

Mật khẩu không thôi là chưa đủ để bảo vệ người dùng khỏi những cuộc tấn công của tin tặc. Một nghiên cứu mới đã tiết lộ cách bọn tội phạm có thể sử dụng camera nhiệt để truy xuất mật khẩu mà một cá nhân đã nhập vào điện thoại thông minh, bàn phím máy tính hoặc thậm chí là máy ATM.

Các nhà nghiên cứu từ Đại học Glasgow đã chỉ ra cách máy ảnh phát hiện nhiệt có thể giúp bẻ khóa mật khẩu trong vòng một phút sau khi người dùng nhập mật khẩu của họ. Họ đã công bố những phát hiện của mình trên tạp chí ACM Trans Transaction on Privacy and Security vào tháng trước.

Trong nghiên cứu, các nhà khoa học máy tính đã phát triển một hệ thống trí tuệ nhân tạo (AI) có tên là ThermoSecure có thể lấy lại các mật khẩu được nhập gần đây từ đầu ngón tay của một người. AI có thể phân tích hình ảnh bàn phím và màn hình của máy ảnh nhiệt để đoán chính xác mật khẩu máy tính trong vài giây.

Khoảng 86% mật khẩu đã bị bẻ khóa. Tấm ảnh nhiệt được chụp chỉ trong vòng 20 giây nhập mã bí mật, sau đó đưa qua hệ thống ThermoSecure của họ để phân tích.

Các nhà khoa học cũng phát hiện ra rằng trong vòng 20 giây, hệ thống có khả năng tấn công thành công ngay cả những mật khẩu dài 16 ký tự, với tỷ lệ lần thử chính xác lên đến 67%.

Khi mật khẩu ngày càng ngắn, tỷ lệ thành công tăng lên. Mật khẩu 12 ký tự đoán trúng tới 82% thời gian thử nghiệm, mật khẩu 8 kí tự lên đến 93% và mật khẩu 6 kí tự thành công trong 100% số lần thử.

Với việc máy ảnh nhiệt có giá dưới 220 USD và AI ngày càng trở nên dễ tiếp cận, các nhà nghiên cứu cảnh báo rằng tội phạm có thể sẽ lợi dụng việc khai thác ảnh nhiệt để đột nhập vào máy tính và điện thoại thông minh của người dùng.

Tiến sĩ Mohamed Khamis, người đứng đầu nghiên cứu cùng Norah Alotaibi và John Williamson, cho biết: "Các mẫu máy ảnh nhiệt có giá cả phải chăng dễ dàng mua được với giá dưới 200 Bảng Anh (tương đương 220 USD), và máy học cũng đang ngày càng trở nên dễ tiếp cận. Điều đó khiến mọi người trên khắp thế giới đang phát triển các hệ thống tương tự như ThermoSecure để lấy cắp mật khẩu."

Các cuộc tấn công bằng máy ảnh nhiệt

Các cuộc tấn công nhiệt có thể xảy ra sau khi một cá nhân nhập mật khẩu hoặc mật mã của họ trên bàn phím máy tính, màn hình điện thoại thông minh hoặc sau khi nhập mã pin của họ tại một cây ATM.

Sau đó, kẻ trộm có thể sử dụng camera tầm nhiệt để chụp ảnh và ghi lại dấu hiệu nhiệt do đầu ngón tay chạm vào thiết bị. Trong các hình ảnh do máy ảnh phát hiện nhiệt ghi lại, những phím bấm được người dùng chạm vào sẽ sáng hơn những phím còn lại.

Khu vực càng ấm, càng được chạm vào gần đây, cho phép bọn tội phạm xác định thứ tự có thể sử dụng các phím để thử các tổ hợp khác nhau và có thể bẻ khóa mật khẩu.

Bằng cách đo cường độ tương đối của các khu vực phím ấm hơn, các nhà nghiên cứu nhận thấy, có thể xác định các chữ cái và số ký hiệu cụ thể tạo nên mật khẩu và ước tính thứ tự chúng được sử dụng.

Khamis giải thích: "Điều quan trọng là nghiên cứu bảo mật máy tính phải bắt kịp với những phát triển này để tìm ra những cách mới nhằm giảm thiểu rủi ro và chúng tôi sẽ tiếp tục phát triển công nghệ của mình để cố gắng đi trước những kẻ tấn công một bước."

Tiến sĩ Khamis nói rằng mật khẩu dài hơn nên được sử dụng bất cứ khi nào có thể, với những mật khẩu khó đoán chính xác hơn. Trong khi đó, loại bàn phím được làm từ chất liệu có thể ảnh hưởng đến khả năng hấp thụ nhiệt của chúng, với một số loại nhựa có khả năng giữ nhiệt cao hơn nhiều so với những loại nhựa khác.

Ông cho biết thêm: "Bàn phím có đèn nền cũng tạo ra nhiều nhiệt hơn, khiến việc đọc nhiệt trở nên khó khăn hơn, vì vậy bàn phím có đèn nền bằng nhựa PBT có thể an toàn hơn. Cuối cùng, người dùng có thể giúp thiết bị và bàn phím của họ an toàn hơn bằng cách áp dụng các phương pháp xác thực thay thế, như nhận dạng vân tay hoặc khuôn mặt, giúp giảm thiểu rủi ro khỏi các cuộc tấn công đánh cắp mật khẩu bằng máy ảnh nhiệt".

Google chính thức phát hành Android 13, các máy Pixel được cập nhật đầu tiên Các thiết bị Pixel được cập nhật trước tiên, sau đó sẽ tới các thiết bị của các nhà sản xuất bên thứ 3 trong giai đoạn cuối năm nay. Kẽ hở của YouTube giúp hai kẻ lừa đảo chiếm đoạt hơn 20 triệu USD tiền bản quyền âm nhạc như thế nào? Báo Mỹ: Samsung vẫn chưa đưa ra lý do chính...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Tướng công an thông tin bất ngờ về quốc tịch kẻ cướp tiệm vàng PNJ tại Đà Nẵng00:55

Visual "ông xã" Hòa Minzy lạ lắm: Lên MV xấu tàn canh gió lạnh, ngoài đời điển trai body 6 múi nét căng07:34

Cầu vồng ở phía chân trời - Tập 25: Chị giúp việc tiết lộ Oanh thất nghiệp, bết bát nhưng vẫn sĩ03:16

Bảo vệ kể lý do cô gái Hà Nội phản đòn, khống chế nam thanh niên xăm trổ12:06

Rung chuyển MXH: Jimin (BTS) bị lộ clip hẹn hò ở nhà riêng, nghi đang bí mật chung sống với mỹ nữ hơn 4 tuổi00:37

Nữ chủ trại nói sự thật về thông tin cả chục người nhảy xuống bể 'hôi của' cá tầm00:49

Hoàng Thùy Linh - Đen Vâu dính kè kè nhau, có phản ứng lạ hậu công khai01:11

Vợ chồng ở Cần Thơ đạp xe hơn 1.800km, vượt bão số 5 ra Hà Nội viếng Lăng Bác00:58

Chuyện gì đang xảy ra khiến Á hậu Phương Nga khóc nức nở còn Bình An thì bất lực?01:03

Bài hát xứng đáng nổi tiếng hơn: 2 lần gây bão concert quốc gia, Chị Đẹp cứ lên sân khấu là bùng nổ visual03:44

Nghe cách Đàm Thu Trang giảng giải sau khi con khóc lóc ăn vạ: Dân mạng khen Cường Đô La đã cưới đúng người01:50

Tiêu điểm

Tin đang nóng

Tin mới nhất

Microsoft khắc phục một trong những sự cố khó chịu nhất của Windows 11

15:23:42 29/08/2025

Tuy nhiên, người dùng sẽ cần tai nghe tương thích với LE Audio và bản cập nhật mới nhất cho Windows 11, trong đó việc triển khai tùy thuộc vào thời điểm nhà sản xuất PC phát hành bản cập nhật trình điều khiển cho LE Audio.

Ứng dụng công nghệ AI, chuyển đổi số giúp doanh nghiệp gia tăng hiệu quả kinh doanh

15:21:49 29/08/2025

Những năm gần đây, Thành phố Hà Nội có triển khai hỗ trợ các doanh nghiệp vừa và nhỏ trên địa bàn các gói chuyển đổi số. Trong đó, phải kể đến các gói Bắt đầu chuyển đổi số, gói Tăng tốc chuyển đổi số và gói Chuyển đổi số hướng đến thị ...

Một câu hỏi cho AI tốn bao nhiêu tài nguyên?

20:34:47 27/08/2025

Google vừa công bố báo cáo kỹ thuật đầu tiên, vén màn bức màn bí mật về mức tiêu thụ năng lượng và tài nguyên của Gemini, mô hình trí tuệ nhân tạo (AI) mạnh mẽ nhất của hãng.

Sạc nhanh không làm chai pin, 'thủ phạm' là thứ ít ai ngờ tới.

13:50:52 27/08/2025

Công nghệ sạc nhanh cho điện thoại từ lâu mang tiếng là kẻ thù thầm lặng của pin, nhưng thực tế phức tạp hơn và một số thói quen sử dụng của người dùng mới là nguyên nhân gây ra nhiều thiệt hại. Tại sao sạc nhanh không phải thủ phạm chí...

YouTube tự ý dùng AI làm nét video gây phẫn nộ trong cộng đồng sáng tạo

13:40:55 27/08/2025

TheoAndroid Authority, nếu gần đây khi lướt YouTube Shorts và thấy các video có vẻ nhòe nhoẹt, mịn màng một cách kỳ lạ như thể đang bật một bộ lọc làm đẹp, bạn không hề đơn độc.

Gemini thêm sức mạnh nhờ loạt tính năng mới

13:34:21 27/08/2025

Mặc dù tính năng này mang lại nhiều tiện ích, tuy nhiên chúng vẫn tồn tại một số hạn chế làm ảnh hưởng đến trải nghiệm người dùng Gemini, như sự không nhất quán trong diện mạo của chủ thể giữa các bức ảnh.

NVIDIA ra mắt 'bộ não mới' cho robot

13:16:36 27/08/2025

Hiện tại nhiều công ty như Agility Robotics, Amazon, Meta và Boston Dynamics đang sử dụng dòng chip Jetson, trong khi NVIDIA cũng đầu tư vào các startup như Field AI.

iPhone Fold ra mắt 2026: Apple khai tử Face ID, giá dự kiến 'chạm nóc'

09:11:38 27/08/2025

Dù mọi sự chú ý đang hướng về sự kiện iPhone 17 diễn ra vào tháng tới, đừng quên rằng Apple có thể sẽ chính thức tham gia thị trường điện thoại gập vào năm 2026 với mẫu iPhone Fold được đồn đoán từ lâu.

Quảng cáo trên Google và Meta nhiều nhưng liệu có hiệu quả?

09:09:56 27/08/2025

Tuy nhiên, thay vì giảm sút các hoạt động kỹ thuật số, người dùng đã chuyển sự chú ý sang các nền tảng giải trí và trò chơi. Thời gian dành cho ứng dụng giải trí đã tăng thêm 2,3 tỉ giờ và game tăng thêm 640 triệu giờ.

AI tìm thấy 5 vật liệu mới có thể 'khai tử' kỷ nguyên pin lithium

11:27:00 26/08/2025

Kết quả thu được, AI đã thu hẹp danh sách xuống còn 5 loại vật liệu đầy hứa hẹn. Các vật liệu này đều có cấu trúc dựa trên TMO (Transition Metal Oxide - Oxit kim loại chuyển tiếp), được cho là có tiềm năng vượt trội.

Chìa khóa cho vấn đề của AI

11:21:30 26/08/2025

Để đạt được mục tiêu, các nhà sản xuất chip AI mới lạ đang sử dụng một chiến lược kinh điển: Thiết kế lại chip từ đầu, dành riêng cho lớp tác vụ mới đột nhiên trở nên quan trọng trong điện toán.

30 năm trước, Windows 95 mở 'cửa sổ tri thức' cho nhân loại

11:17:57 26/08/2025

Start Menu và Taskbar - hai tính năng ngày nay trở nên quá quen thuộc đến mức chúng ta khó có thể tưởng tượng một hệ điều hành không có chúng. Nhưng năm 1995, đây là những ý tưởng cách mạng.