সেলফোনের ফিঙ্গারপ্রিন্ট লক কতটা নিরাপদ তা নিয়ে গবেষণা করেছেন চীনের ঝেজিয়াং বিশ্ববিদ্যালয়ের ইলিং হি এবং বহুজাতিক প্রযুক্তি প্রতিষ্ঠান টেনসেন্টের গবেষক ইউ চেন।
এ জুটির নতুন গবেষণাটি ইঙ্গিত করছে, অ্যান্ড্রয়েডের প্রায় সব স্মার্টফোনেই অজানা দুর্বলতা বিদ্যমান, যা নিহিত ফিঙ্গারপ্রিন্ট সিস্টেমে। যাকে বলা হয় জিরো-ডে ভালনারেবিলিটিস। এটি হচ্ছে সফটওয়্যার, হার্ডওয়্যার বা কম্পিউটার সিস্টেমের এক ধরনের নিরাপত্তা ত্রুটি। ডেভেলপার বা নির্মাতারা এখনো এ সমস্যা সমাধানে সক্ষম হননি।
এ ত্রুটিগুলোকে জিরো-ডে ভালনারেবিলিটিস বলা হয় কারণ হ্যাকাররা এর সুযোগ নিয়ে যেকোনো স্মার্টফোনের ফিঙ্গারপ্রিন্ট স্ক্যানার আনলকের মাধ্যমে ব্রুটপ্রিন্ট অ্যাটাক চালাতে সক্ষম হয়।
ব্রুটপ্রিন্ট অ্যাটাকের মাধ্যমে হ্যাকাররা তাদের যেকোনো একটি প্যাটার্ন ম্যাচ না পাওয়া পর্যন্ত বিভিন্ন ফিঙ্গারপ্রিন্ট প্যাটার্ন দেয়ার মাধ্যমে ডিভাইস আনলকের চেষ্টা চালিয়ে থাকে।
বিষয়টি পরীক্ষা করতে গবেষকদ্বয় একটি মাইক্রোকন্ট্রোলার, অ্যানালগ সুইচ, এসডি ফ্ল্যাশ কার্ড বোর্ড-টু-বোরড কানেক্টর এবং ১৫ ডলার মূল্যের সার্কিট বোর্ড ব্যবহার করেন। তারা দেখতে পান, হ্যাকারদের ব্যবহারকারীর আঙ্গুলের ছাপের ডাটাবেস ও সেলফোনসহ তথ্যে এক্সেস করতে মাত্র ৪৫ মিনিট সময়ের প্রয়োজন। গবেষণায় আটটি ভিন্ন অ্যান্ড্রয়েড স্মার্টফোন ও দুটি আইফোন পরীক্ষা করা হয়। অ্যান্ড্রয়েড ফোনের মধ্যে রয়েছে শাওমি মি ১১ আল্ট্রা, ভিভো এক্স৬০ প্রো, ওয়ানপ্লাস ৭প্রো, অপো রেনো এইস, স্যামসাং গ্যালাক্সি এস১০প্লাস, ওয়ানপ্লাস পাঁচটি, হুয়াওয়ে মেট৩০প্রো ৫জি এবং হুয়াওয়ে পি৪০। এছাড়া আইফোন এসই এবং আইফোন ৭ ব্যবহার করা হয়েছে।
পরীক্ষায় দেখা যায়, সব স্মার্টফোনের ফিঙ্গারপ্রিন্ট সুরক্ষার বিপরীতে সীমিত নিরাপত্তা বিদ্যমান। উদ্বেগের বিষয় হচ্ছে, ব্রুটপ্রিন্ট আক্রমণের মাধ্যমে প্রদত্ত সামান্য নিরাপত্তাকে পাশ কাটিয়ে হ্যাকাররা ব্যবহারকারীর সেলফোন সহজেই হ্যাক করতে সক্ষম।
কেননা সঞ্চিত তথ্যের সঙ্গে প্রদত্ত ইনপুট শতভাগ মিলছে কিনা, ফিঙ্গারপ্রিন্ট অথেন্টিকেটর তা যাচাই করে না। এর পরিবর্তে, ইনপুটটি সঞ্চিত ফিঙ্গারপ্রিন্টের কতটা কাছাকাছি তা যাচাই করতে থ্রেশহোল্ড ব্যবহার করে। থ্রেশহোল্ড হচ্ছে রেফারেন্সের পয়েন্ট। একটি নির্দিষ্ট শর্ত পূরণ করা হয়েছে কিনা তা নির্ধারণ করতে প্রায়ই এটি ব্যবহৃত হয়। অর্থাৎ হ্যাকাররা এর মাধ্যমে সুবিধা নিতে পারে এবং সঞ্চিত ফিঙ্গারপ্রিন্ট তথ্য মেলানোর চেষ্টা করতে পারে।
স্মার্টফোনগুলো আনলক করতে, গবেষক দলটি স্মার্টফোনের পেছনের কভারটি সরিয়ে ১৫ ডলার দিয়ে কেনা সার্কিট বোর্ড সংযুক্ত করে দেন। এরপর ১ ঘণ্টারও কম সময়ে ডিভাইসগুলো তারা আনলক করতে সক্ষম হয়। ডিভাইস একবার আনলক করতে পারলে হ্যাকাররা ব্যবহারকারীর সব তথ্যে প্রবেশ করতে পারবে। এরপর তারা ব্যবহারকারীর সম্মতি ছাড়াই অর্থ প্রদানের অনুমোদনসহ বিভিন্ন কাজে তা অপব্যবহার করতে পারবে।
তবে ফোনের মডেল অনুসারে নির্ভর করে এগুলো আনলক করতে ঠিক কতটা সময় লাগবে। যেমন অপো আনলক করতে প্রায় ৪০ মিনিট এবং স্যামসাং গ্যালাক্সি এস১০প্লাস আনলক করতে প্রায় ৭৩ মিনিট থেকে ২ ঘণ্টা ৯০ মিনিট সময় লেগেছে। অ্যান্ড্রয়েড স্মার্টফোনের মধ্যে আনলক করা সবচেয়ে কঠিন ছিল এমআই ১১ আল্ট্রা।
গবেষকরা জানান, এটি আনলক করতে প্রায় ২ ঘণ্টা ৭৮ মিনিট থেকে ১৩ ঘণ্টা ৮৯ মিনিট সময়ক্ষেপণ হয়েছে তাদের।
যদিও আইফোন আনলকের চেষ্টা করে সফল হননি গবেষকরা। প্রতিবেদনে বলা হয়, এটির মানে এই নয় যে অ্যান্ড্রয়েড ফিঙ্গারপ্রিন্ট আইফোনের তুলনায় দুর্বল। বরং মূল কারণ অ্যাপল আইফোন ব্যবহারকারীদের ডাটা এনক্রিপ্ট করে। ডাটার এনক্রিপশন হচ্ছে ব্যবহারকারীর তথ্যের গোপনীয়তা ও নিরাপত্তা সুরক্ষায় কার্যকর নিরাপত্তার ব্যবস্থা করা। এটি ডাটাকে কোডেড ফর্মে রূপান্তর করে, যা শুধু উপযুক্ত ‘এনক্রিপশন কি’ দিয়ে অ্যাকসেস সম্ভব হয়। ব্রুটপ্রিন্ট আক্রমণ আইফোনের এনক্রিপ্ট করা ডাটাসহ ফিঙ্গারপ্রিন্ট তথ্যে প্রবেশ করা সম্ভব হবে না।
গবেষক, ইউ চেন এবং ইলিং হি মনে করেন, ব্যবহারকারীর তথ্যের নিরাপত্তা নিশ্চিত করতে অতিরিক্ত সুরক্ষা ব্যবস্থা গ্রহণ করাটা মূলত অ্যান্ড্রয়েড নির্মাতাদের ওপর নির্ভর করে। গবেষকদ্বয় ফিঙ্গারপ্রিন্ট স্ক্যানার ও চিপসেটের মধ্যে সংযুক্ত সব তথ্য এনক্রিপ্ট করার জন্য গুগলকে অনুরোধ করেছেন।