Các kỹ sư từ Mỹ đã phát triển một ‘ngón tay vô hình’ để điều khiển các thiết bị màn hình cảm ứng từ xa.
Theo đó, các nhà nghiên cứu từ Đại học Florida và Đại học New Hampshire đã trình bày nghiên cứu về một “ngón tay vô hình” tại Black Hat USA 2022 ở Las Vegas vào tuần trước.
Sử dụng một số khoa học phức tạp, một cánh tay robot và nhiều dải ăng-ten, các nhà khoa học có thể mô phỏng từ xa một ngón tay chạm vào màn hình cảm ứng điện dung của một số thiết bị.
Phương pháp này bao gồm việc sử dụng một dải ăng-ten ẩn để xác định vị trí của thiết bị được nhắm mục tiêu và một dải ăng-ten khác để tạo ra trường điện từ với tần số chính xác để gửi tín hiệu điện áp đến các cảm biến trên màn hình. Sau đó, bộ xử lý diễn giải những tín hiệu này như một số loại cảm ứng nhất định.
Nhóm nghiên cứu có thể mô phỏng các thao tác chạm, nhấn và vuốt theo bất kỳ hướng nào trên nhiều thiết bị, bao gồm iPad, OnePlus, Google Pixel, Nexus và Surface. Về mặt lý thuyết, tin tặc có thể sử dụng một cuộc tấn công bằng ngón tay vô hình để thực hiện từ xa bất kỳ thao tác nào yêu cầu người dùng chạm vào màn hình.
“Nó giống như ngón tay của bạn đang thực hiện công việc. Chúng tôi thậm chí có thể tạo thao tác vuốt đa hướng trên iPad và Surface. Chúng tôi hoàn toàn có thể sử dụng thao tác này để mở khóa dựa trên cử chỉ.”
Haoqi Shan – Tiến sĩ Đại học Florida và người dẫn chương trình chính tại hội nghị
Trong các cuộc thử nghiệm, họ đã sử dụng kỹ thuật này để cài đặt phần mềm độc hại trên điện thoại Android. Shan cho biết họ cũng gửi tiền “bằng cách sử dụng nhấn và giữ trên PayPal.” Một số thử nghiệm đã bị thất bại do EMF không có khả năng kích hoạt các hộp thoại tuỳ chọn nhỏ. Ví dụ: bất kỳ thứ gì yêu cầu phản hồi hộp thoại Có / Không của Android sẽ không hoạt động vì các nút có và không nhỏ quá gần nhau.
Trước khi lo lắng về việc những ngón tay vô hình thao túng các thiết bị của chúng ta, điều quan trọng cần lưu ý là những kẻ xấu có thể còn lâu mới sử dụng vector tấn công này vì một số lý do.
Mặc dù các nhà nghiên cứu không đề cập đến chi phí của thiết bị, nhưng thực tế là kỹ thuật này đòi hỏi một số phần cứng đắt tiền có thể khiến nó không hiệu quả về mặt chi phí. Cánh tay robot được sử dụng để định vị chính xác ăng-ten điện từ có thể trị giá hàng nghìn đô la một mình. Nó cũng yêu cầu kiến thức sâu sắc về cách màn hình cảm ứng hoạt động và điện áp chính xác cần thiết để đăng ký các cử chỉ mong muốn.
Hơn nữa, phạm vi quá ngắn để có thể thực tế trong hầu hết mọi tình huống có thể hình dung được. Shan nói rằng nó chỉ có hiệu quả trong vòng ba đến bốn cm – một phạm vi tốt cho công việc trong phòng thí nghiệm nhưng khó đến mức không thể thực hiện được trong bối cảnh thế giới thực. Vì vậy, nó giống như một bằng chứng về khái niệm cho bây giờ.
Tuy nhiên, Shan cũng lưu ý với những người tham dự hội nghị rằng đây là một vectơ tấn công hoàn toàn mới và những người khác chắc chắn có thể cải thiện nó.
“[Thiết kế này] là một kiểu tiếp cận tương đối mới, ngay cả đối với các nhà nghiên cứu chuyên nghiệp, [mặc dù] một khi bạn có được kiến thức ở đây, bạn sẽ có thể tái tạo những gì chúng tôi đang làm bây giờ,” Shan giải thích. “Có thể bạn sẽ nghĩ ra một đòn tấn công mạnh mẽ hơn hoặc ngầu hơn nhiều.”
Giảm nhẹ không phải là nghiêm trọng vào lúc này. Tuy nhiên, Shan cho biết các nhà sản xuất màn hình cảm ứng điện dung nên xem xét triển khai tính năng phát hiện lực để ngăn chặn kiểu xâm nhập này trong tương lai. Một số người có thể nhớ lại rằng Apple đã giới thiệu “Force Touch” cho iPhone và các thiết bị khác vào năm 2014. Tuy nhiên, nó đã ngừng tính năng này vào năm 2018 – ít nhất là đối với iPhone.
Việc giảm thiểu ngón tay vô hình ở cấp độ người tiêu dùng hiệu quả nhất sẽ là sử dụng lồng Faraday. Bỏ điện thoại vào túi Faraday hoặc thứ gì đó tương tự có thể không thuận tiện lắm, nhưng các nhà sản xuất ốp lưng có thể thiết kế vỏ điện thoại thời trang để loại bỏ nhiễu điện từ. Một số nhà sản xuất ví đã làm điều này để bảo vệ thẻ tín dụng khỏi các thiết bị đọc lướt qua chip NFC của thẻ.