Cảm biến ánh sáng: Công cụ gián điệp trên iPhone và Android

Cảm biến ánh sáng môi trường xung quanh có trong màn hình thiết bị thông minh có thể được sử dụng như 1 camera, tạo ra một kẽ hở mới cho hoạt động giám sát trái phép. Các nhà nghiên cứu từ chương trình robot của MIT đã phát hiện ra rằng những cảm biến này, thường được sử dụng để điều chỉnh độ sáng màn hình, có khả năng ghi lại hình ảnh tương tác của người dùng, gây ra mối đe dọa về rò rỉ quyền riêng tư. Không giống như máy ảnh, những cảm biến này hoạt động mà không có yêu cầu cho phép rõ ràng, khiến chúng dễ dàng bị khai thác. Các nhà nghiên cứu đã trình diễn cách cảm biến ánh sáng có thể ghi lại các tương tác chạm một cách kín đáo, như cuộn và vuốt, ngay cả khi phát lại video, chúng sử dụng kỹ thuật đảo ngược để thu thập các ánh sáng low-bit bị cản trở bởi bàn tay người dùng trên màn hình.

Theo Yang Liu, một nghiên cứu sinh tiến sĩ tại Khoa Khoa học Máy tính và Kỹ thuật Điện MIT (EECS) và CSAIL, những cảm biến này có thể gây ra mối đe dọa về quyền riêng tư bằng cách có khả năng cung cấp thông tin cho hacker để giám sát các thiết bị thông minh. Liu giải thích: "Cảm biến ánh sáng môi trường cần có mức cường độ ánh sáng thích hợp để khôi phục thành công hình ảnh tương tác bằng tay. Bản chất của cảm biến ánh sáng là không cần cho phép và luôn bật để cảm biến ánh sáng xung quanh, cùng với khả năng ghi hình ảnh, mang lại những rủi ro rò rỉ quyền riêng tư mà chúng ta không ngờ tới từ các tính năng không dùng để chụp ảnh.

Trong bài viết này, BShield sẽ cùng bạn tìm hiểu sâu hơn về mối đe dọa bảo mật này trên điện thoại di động.

Cảm biến điện thoại thông minh: Nguy cơ tăng rủi ro bảo mật

Liu nhấn mạnh rằng có một mối lo ngại bảo mật tiềm ẩn khác, đó là ngoài việc ghi lại các cử chỉ chạm, là khả năng tiết lộ một phần thông tin khuôn mặt.

“Một thông tin bổ sung là màu sắc”, Liu giải thích thêm. "Hầu hết các thiết bị thông minh ngày nay đều được trang bị cảm biến ánh sáng đa kênh để tự động điều chỉnh nhiệt độ màu sắc - tính năng này góp phần đe dọa về quyền riêng tư khi chụp ảnh vì khả năng khôi phục màu sắc".

Hiện nay, xu hướng của các thiết bị điện tử tiêu dùng là sử dụng màn hình lớn hơn và sáng hơn, điều này có thể làm tăng rủi ro bảo mật về mối đe dọa quyền riêng tư hình ảnh.

Liu cảnh báo rằng những phát triển trong hình ảnh nhân tạo, được hỗ trợ bởi AI và các mô hình ngôn ngữ lớn (LLM), cho phép chụp ảnh với dung lượng chỉ một bit cho mỗi bức ảnh, có khả năng làm thay đổi các đánh giá tích cực về quyền riêng tư của chúng ta hiện tại.

Giải pháp đề xuất: Hạn chế cung cấp thông tin

Liu cho rằng việc triển khai các biện pháp giảm thiểu về mặt phần mềm có thể giúp kiểm soát quyền hạn và tốc độ thông tin của tính năng cảm biến ánh sáng.

Ông khuyến nghị: “Đặc biệt, các nhà cung cấp hệ điều hành nên đưa ra các biện pháp kiểm soát quyền hạn đối với các tính năng cảm biến “vô tội” này, cho chúng ở mức tương tự hoặc thấp hơn một chút so với máy ảnh".

Để đạt được sự cân bằng giữa chức năng cảm biến và các rủi ro tiềm ẩn về quyền riêng tư, Liu đề xuất giảm tốc độ của cảm biến ánh sáng xung quanh xuống 1-5 Hz và giảm mức lượng tử hóa xuống 10-50 lux.

Liu giải thích rằng điều này sẽ làm giảm đáng kể tốc độ thông tin từ hai đến ba bậc độ lớn, khiến cho các mối đe dọa về quyền riêng tư hình ảnh rất khó xảy ra.

Sự gia tăng các mối đe dọa an ninh mạng IoT

Theo Bud Broomhead, Giám đốc điều hành của Viakoo, phát hiện này không gây ra mối lo ngại đáng kể nào. Ông nhấn mạnh rằng việc ghi lại một khung hình cử chỉ tay cứ sau 3,3 phút, như trong thử nghiệm của MIT, khó có thể tạo động lực cho kẻ tấn công để thực hiện một hoạt động xâm nhập phức tạp và tốn thời gian.

Ông lưu ý: “Tuy nhiên, đó là một lời nhắc nhở rằng tất cả các thiết bị số đều có thể có những lỗ hổng có thể bị khai thác và cần chú ý đến tính bảo mật của chúng”. "Nó gợi nhớ đến khi các nhà nghiên cứu bảo mật tìm ra những cách mới để tấn công các hệ thống có air-gap thông qua các cơ chế nđèn nhấp nháy như trên thẻ NIC - về mặt lý thuyết thì điều này khá thú vị, nhưng không phải là mối đe dọa bảo mật đối với hầu hết mọi người."

John Bambenek, chủ tịch tại Bambenek Consulting, cũng nhấn mạnh người dùng và doanh nghiệp nên xem xét kỹ lưỡng các thiết bị và ứng dụng của họ, hiểu rõ thông tin nào đang được thu thập và cách chúng được sử dụng.

Ông nhận xét: “Gần đây chúng tôi mới có được các công cụ để kiểm tra điều đó”. "Hy vọng các nhà nghiên cứu và học giả sẽ tiếp tục thực hiện những công việc này để tìm ra khoảng cách giữa các công cụ và những gì có thể thực hiện được."

Bambenek chỉ ra rằng những kẻ tấn công luôn tìm kiếm những cách thức mới để nhắm mục tiêu vào người dùng, và những con đường tấn công mạng ít rõ ràng hơn này có thể hấp dẫn một số người, bao gồm cả các công ty công nghệ mong muốn thu thập nhiều dữ liệu để đào tạo thuật toán AI của họ.

Mối nguy hiểm khác ngoài máy ảnh truyền thống và bao gồm các tập mẫu được tạo ra bởi cử chỉ vật lý. Một nhóm các nhà nghiên cứu tại Đại học Cornell gần đây đã công bố phát hiện về một mô hình AI được đào tạo về dữ liệu gõ trên điện thoại thông minh, cho thấy độ chính xác 95% trong việc lấy mật khẩu.

Khi các lỗ hổng trong thiết bị IoT và hệ điều hành liên tục xuất hiện, chúng sẽ được kết nối với nhau thông qua các hệ thống mạng phức tạp, do đó cần tập trung giải pháp đổi mới vào việc áp dụng các nguyên tắc bảo mật. Phương thức này nhằm mục đích tích hợp các cơ chế phòng thủ chặt chẽ hơn cho phần mềm để tăng cường an ninh của toàn bộ hệ thống.

BShield, một giải pháp bảo mật ứng dụng di động do Verichains phát triển với mục đích giảm thiểu các lỗ hổng liên quan đến hành vi đánh cắp thông tin và chiếm đoạt tài sản trên thiết bị di động của người dùng. Hiện tại, BShield cung cấp khả năng bảo vệ mạnh mẽ cho khoảng 50 triệu thiết bị trên nhiều ứng dụng tài chính ngân hàng khác nhau tại Việt Nam.