Cuộc tấn công WiKI-Eve mới có thể đánh cắp mật khẩu chứa chữ số qua WiFi

WiKI-Eve khai thác BFI (thông tin phản hồi dạng chùm), một tính năng được giới thiệu vào năm 2013 với WiFi 5 (802.11ac), cho phép các thiết bị gửi phản hồi về vị trí của chúng tới các bộ định tuyến để bộ định tuyến có thể truyền tín hiệu chính xác hơn.

Vấn đề của BFI là việc trao đổi thông tin chứa dữ liệu ở dạng văn bản rõ ràng, nghĩa là dữ liệu này có thể bị chặn và dễ dàng sử dụng mà không cần phải hack phần cứng hoặc bẻ khóa mã hóa.

Tổng quan về cuộc tấn công WiKI-Eve

(arxiv.org)

Lỗ hổng bảo mật này được phát hiện bởi một nhóm các nhà nghiên cứu đại học ở Trung Quốc và Singapore. Họ đã thử nghiệm khả năng truy xuất các bí mật tiềm ẩn từ những đường truyền này.

Nhóm này nhận thấy rằng việc xác định các lần nhấn phím số là khá dễ dàng trong 90% thời gian, giải mã mật khẩu số gồm 6 chữ số với độ chính xác 85% và tìm ra mật khẩu ứng dụng phức tạp với độ chính xác khoảng 66%.

Mặc dù cuộc tấn công này chỉ hoạt động với mật khẩu chứa chữ số, nhưng một nghiên cứu của NordPass cho thấy 16/20 mật khẩu hàng đầu chỉ sử dụng chữ số.

Cuộc tấn công WiKI-Eve

Cuộc tấn công WiKI-Eve được thiết kế để chặn tín hiệu WiFi trong quá trình nhập mật khẩu, do đó đây là cuộc tấn công có thời gian thực phải được thực hiện trong khi mục tiêu chủ động sử dụng điện thoại thông minh của họ và cố gắng truy cập vào một ứng dụng cụ thể.

Chuyển động ngón tay và TAP tạo ra các biến thể tín hiệu BFI
(arxiv.org)

Kẻ tấn công phải xác định mục tiêu bằng cách sử dụng dấu hiệu nhận dạng trên mạng, chẳng hạn như địa chỉ MAC, do đó cần phải có một số công việc chuẩn bị.

“Trên thực tế, Eve có thể thu được thông tin này trước bằng cách tiến hành giám sát lưu lượng và hình ảnh đồng thời: mối tương quan giữa lưu lượng mạng bắt nguồn từ nhiều địa chỉ MAC khác nhau với hành vi của người dùng sẽ cho phép Eve liên kết thiết bị vật lý của Bob với lưu lượng kỹ thuật số, từ đó xác định địa chỉ MAC của Bob,” các nhà nghiên cứu giải thích.

Trong giai đoạn chính của cuộc tấn công, chuỗi thời gian BFI của nạn nhân trong quá trình nhập mật khẩu bị kẻ tấn công nắm bắt bằng công cụ giám sát lưu lượng như Wireshark.

Mỗi lần người dùng nhấn một phím sẽ tác động đến ăng-ten WiFi phía sau màn hình, tạo ra tín hiệu WiFi riêng biệt.

“Mặc dù chúng chỉ chiếm một phần CSI đường xuống liên quan đến phía AP, nhưng thực tế là việc nhập trên màn hình tác động trực tiếp đến ăng-ten Wi-Fi (do đó là các kênh) ngay phía sau màn hình (xem Hình 1) cho phép BFI chứa đủ thông tin về tổ hợp phím”, tờ báo viết.

Tuy nhiên, bài báo nhấn mạnh rằng chuỗi BFI được ghi lại có thể làm ảnh hưởng ranh giới giữa các lần nhấn phím, vì vậy họ đã phát triển một thuật toán phân tích cú pháp và khôi phục dữ liệu có thể sử dụng được.

Mô hình Mạng Nơ Ron nhân tạo (Neural Network) để phân tích dữ liệu đã thu thập được (arxiv.org)

Để giải quyết thách thức trong việc lọc ra các yếu tố ảnh hưởng đến kết quả, như kiểu gõ, tốc độ gõ, số lần nhấn phím liền kề, v.v., các nhà nghiên cứu sử dụng máy học có tên là “Mạng Nơ Ron nhân tạo (Neural Network) chuyển đổi 1-D”.

Hệ thống được cài đặt để nhận dạng các lần nhấn phím một cách nhất quán bất kể kiểu gõ nào thông qua khái niệm “điều chỉnh miền”, bao gồm trình trích xuất tính năng, trình phân loại tổ hợp phím và trình phân biệt miền.

Đào tạo khung ML cho WiKI-Eve (arxiv.org)

Cuối cùng, “Gradient Reversal Layer” (GRL) được áp dụng để loại bỏ các tính năng dành riêng cho miền, giúp tìm hiểu các cách biểu diễn tổ hợp phím nhất quán trên các miền.

Các bước tấn công WiKI-Eve
(arxiv.org)

Kết quả tấn công

Các nhà nghiên cứu đã thử nghiệm WiKI-Eve bằng máy tính xách tay và WireShark nhưng cũng chỉ ra rằng điện thoại thông minh cũng có thể được sử dụng làm thiết bị tấn công, mặc dù nó có thể bị hạn chế hơn về số lượng giao thức WiFi được hỗ trợ.

Dữ liệu thu thập được phân tích bằng Matlab và Python, đồng thời các tham số phân đoạn được đặt thành các giá trị hiển thị để tạo ra kết quả tốt nhất.

Hai mươi người tham gia được kết nối với cùng một điểm truy cập WiFi đã sử dụng các mẫu điện thoại khác nhau. Họ đã nhập nhiều mật khẩu khác nhau bằng cách sử dụng kết hợp các ứng dụng đang hoạt động trong nền và tốc độ gõ khác nhau trong khi các phép đo được thực hiện từ sáu vị trí khác nhau.

Các thử nghiệm cho thấy độ chính xác phân loại tổ hợp phím của WiKI-Eve vẫn ổn định ở mức 88,9% khi sử dụng thuật toán khôi phục thưa (sparse recovery) và độ thích ứng miền.

Độ chính xác tổng thể của WiKI-Eve so với các mô hình nhắm mục tiêu CSI
(arxiv.org)

Đối với mật khẩu số có sáu chữ số, WiKI-Eve có thể suy ra chúng với tỷ lệ thành công 85% sau chưa đầy một trăm lần thử, duy trì ổn định trên 75% trong tất cả các môi trường được thử nghiệm.

Tuy nhiên, khoảng cách giữa kẻ tấn công và điểm truy cập là rất quan trọng đối với hiệu suất này. Việc tăng khoảng cách đó từ 1m lên 10m khiến tỷ lệ dự đoán thành công giảm 23%.

Ảnh hưởng của khoảng cách đến hiệu suất dự đoán
(arxiv.org)

Các nhà nghiên cứu cũng đã thử nghiệm lấy mật khẩu người dùng cho WeChat Pay, mô phỏng một kịch bản tấn công thực tế và nhận thấy rằng WiKI-Eve đã suy ra mật khẩu chính xác với tỷ lệ 65,8%.

Mô hình đã dự đoán một cách nhất quán mật khẩu chính xác trong số 5 lần đoán cao nhất trong hơn 50% trong số 50 thử nghiệm được thực hiện. Điều này có nghĩa là kẻ tấn công có 50% cơ hội giành được quyền truy cập trước khi đạt ngưỡng bảo mật sau 5 lần thử mật khẩu sai, sau đó ứng dụng sẽ khóa.

Tấn công vào mật khẩu WeChat
(arxiv.org)