Sau khi Apple giới thiệu mẫu iPhone X cao cấp nhất có tích hợp Face ID, loại bỏ Touch ID và cho biết tỷ lệ sai sót trong bảo mật sẽ giảm từ 1/50.000 còn 1/1.000.000, nhiều người đã bắt đầu hoài nghi về sự an toàn của cảm biến vân tay.

Cũng đúng thôi, bởi vì hiện tại có khá nhiều smartphone ngoài iPhone (cụ thể là điện thoại Android) được trang bị công nghệ bảo mật này dù có giá mức giá rẻ. Như vậy, liệu nó có an toàn như chúng ta vẫn nghĩ?

Google dùng cách lưu trữ vân tay tương tự Apple

Theo thông tin từ Android Central, dù là một hệ điều hành mở nhưng cách mà Google tạo ra cách lưu trữ dấu vân tay trên Android cũng không khác gì so với Apple iOS.

Cụ thể, hiện nay công nghệ mà các hãng đang sử dụng đều có liên quan đến Trusted Execution Environment (TEE, tạm dịch là Môi trường Thực hiện Đáng tin cậy). Mỗi TEE là một khu vực riêng biệt và cô lập trong phần cứng của điện thoại.

Tuỳ vào cách mà nhà sản xuất tuỳ biến, TEE có thể sử dụng bộ vi xử lý và bộ nhớ của riêng nó hoặc có thể dùng chung CPU chính bằng một môi trường ảo hoá.

Và dù đang dùng cách nào thì độ an toàn của các TEE là tuyệt đối, ngay cả khi điện thoại Android đã bị root hay mở khoá bootloader (chương trình khởi động hệ thống được dịnh sẵn trong ROM).

Đối với Google, họ gọi khu vực này là TEE Trusty, bên trong sẽ chứa một hệ điều hành nhỏ và tách biệt có tên Trusty OS. Song song đó, nó cũng sử dụng phần cứng TEE riêng và trình điều khiển nhân kernel cho phép giao tiếp với hệ thống.

Ngoài ra, trong Android còn có một thư viện (có thể được gọi là) Trusty API gúp nhà phát triển hay OEMs có thể tạo ra các lệnh yêu cầu dạng 'yes/no' gửi đến TEE. Chẳng hạn như Facebook++ quét dấu vân tay rồi gửi lệnh đến TEE để mở khoá ứng dụng.

Giải thích cho sơ đồ bên dưới: Khi bạn đăng ký một dấu vân tay trên smartphone Android, cảm biến sẽ đảm nhận nhiệm vụ quét cấu tạo của ngón tay sau đó chuyển data đó đến Trusty OS và thực hiện phân tích trong TEE.

Các dữ liệu này sau đó được tách thành 2 thứ: Tập hợp các dữ liệu xác nhận và dấu vân tay mẫu được mã hoá.

Tất nhiên, chúng đều là những thông tin chỉ có giá trị với mỗi TEE trong từng máy, vốn dĩ được xem như dữ liệu 'rác vụn' đối với các hệ thống giải mã bên ngoài bởi vì nó được mã hoá đến 3 lớp.

Và mỗi khi bạn cần kích hoạt máy bằng vân tay, một quá trình (có thể xem là) ngược lại sẽ diễn ra: Cảm biến ghi nhận dấu vân tay và tạo thành một 'hồ sơ' dữ liệu. Sau đó, thông qua Trusty API, data này sẽ được vận chuyển và yêu cầu nhân kernel hỏi TEE xem có đúng với thứ nó đang lưu trữ hay không.

Nếu trùng khớp, smartphone hay các chức năng sử dụng vân tay sẽ được kích hoạt. Ngược lại, thông tin này sẽ được phản hồi về kernel để đưa ra tín hiệu đến các bộ phận thông báo trên máy như loa, màn hình, bộ rung,....

Vậy thì nó có an toàn đối với các máy giá rẻ?

Có thể bạn đã biết, khi muốn sử dụng Android cho smartphone của mình, các OEM buộc phải tuân thủ các ràng buộc mà Google đưa ra. Đó là bao gồm những yêu cầu cài sẵn app của họ mà không thể xoá như Gmail, Drive hay Bản đồ,...

Hoặc cao hơn, khi muốn tích hợp cảm biến vân tay cho thiết bị, hãng sản xuất buộc phải làm theo quy chuẩn mà Google xây dựng. Dĩ nhiên ở đây là mức tối thiếu, tức khi OEM có khả năng cao hơn thì họ có quyền tuỳ biến thoải mái, ví dụ như chuyện Samsung tự làm công nghệ quét mống mắt từ thời Galaxy Note 7.

Quay lại vấn đề bảo mật vân tay, quy tắc của Google mà các hãng phải tuân theo là:

- Việc phân tích vân tay phải được thực hiện trong TEE và các dữ liệu liên quan cũng phải được lưu trữ trong đó (hoặc trong bộ nhớ đáng tin cậy mà CPU không nhìn thấy).

Điều này cũng đồng nghĩa là dữ liệu vân tay không được sao lưu vào bất kỳ nơi nào, ví dụ như ứng dụng, đám mây hay máy tính,...

- Dữ liệu về vân tay phải được mã hoá ngay cả khi nó đã được lưu trữ trong vùng mã hoá. Và nơi lưu trữ sẽ không được hiển thị, liên kết với bất kỳ quá trình, ứng dụng hay người dùng nào ngay cả khi họ đã root máy.

- Khi xoá bỏ một user trên máy thì dữ liệu dấu vân tay của người đó cũng phải được xoá theo.

- Việc xác thực vân tay chỉ được sử dụng đối với quá trình đang yêu cầu nó (không được chia sẻ điều gì, thậm chí là việc phản hồi yes/no).

Như vậy, thông qua các yêu cầu trên, chúng ta có thể kết luận là: Dù bạn có đang xài vân tay của một chiếc Galaxy Note 8 cao cấp hay từ một thiết bị giá rẻ như Mobiistar Zumbo J2 thì chúng đều an toàn như nhau.

Nếu khác, có chăng chỉ là về độ nhạy, tuổi thọ linh liện hoặc cách tuỳ biến vùng lưu trữ đi kèm. Vì đơn giản, chúng đều là những máy đã được Google chứng nhận chứ không phải hàng trôi nổi và xài Android 'lậu'.

---

Vừa rồi là một số thông tin liên quan đến bảo mật vân tay trên smartphone Android. Không biết khi xem xong, bạn đã hết thắc mắc?

Nếu còn hoặc muốn chia sẻ gì, bạn đừng quên comment bên dưới!

* Trong bài có sử dụng hình ảnh từ The Daily Dot, Unbox, CipherPoint & Terry Majamaki.

Biên tập bởi Tech Funny