Các chuyên gia bảo mật nói gì khi Bkav hack thành công Face ID

0
5240

Việc Bkav hack thành công Face ID trên iPhone X đã làm dấy lên các cuộc tranh cãi xung quanh cách hack của Bkav, nhiều chuyên gia đã lên tiếng nhận định về cách hack này cho rằng Bkav đã dùng tiểu xảo.

Ngay sau khi Apple chính thức bán ra iPhone X, ngay lập tức nhiều thử nghiệm với tính năng bảo mật Face ID trên iPhone X đã đặt ra. Cụ thể vào thứ 6 vừa qua, Bkav, hãng bảo mật có uy tính tại Việt Nam đã công bố thông tin và đoạn video hack thành công Face ID trên iPhone X bằng một chiếc mặt ra được in 3D. Thông tin này đã gây nên tranh cãi giữa các chuyên gia bảo mật trên thế giới trong những ngày qua. Cụ thể chiếc mặt nạ in 3D mà Bkav sử dụng có chi phí chỉ 150 USD, được thiết kế kha đơn giản với một hỗ hợp nhựa silicone, hình ảnh 2D của đôi mắt và miệng được in trên giấy và tất cả được gắn trên một bộ khung bằng nhựa.

Andy Greenberg, biên tập viên công nghệ của WIRED nổi tiếng về mảng bảo mật và an ninh mạng, đã có môt bài viết chia sẻ ý kiến riêng của mình trên trang WIRED.

Trong đoạn video Bkav đăng tải, ngay sau khi người thử nghiệm mở chiếc khăn bao khuôn mặt được in 3D, ngay lập tức chiếc iPhone X này đã nhận diện được và mở khoá. Mô hình khuôn mặt này được in mô phỏng theo khuôn mặt của người đã đăng ký khuôn mặt trên iPhone X trước đó.

Bkav cho biết, chỉ có thử nghiệm mới có thể áp dụng phương pháp này, bởi nếu ai đó có ý định đánh cắp chiếc iPhone X và mở khoá chúng thì họ sẽ phải quét khuôn mặt của chủ sở hữu chiếc iPhone thật chi tiết, điều này không khả thi với các hành vi tấn công hay đánh cắp dữ liệu từ xa.

Bkav viết trên blog của mình, “Apple đã làm Face ID chưa thực sự tốt lắm, Face ID có thể bị đánh lừa bởi mặt nạ, có nghĩa là nó sẽ không phải là một biện pháp bảo mật hiệu quả.” Phương pháp này không áp dụng đối với những người dùng phổ thông. “Các mục tiêu có thể bị tấn công bởi phương pháp này là những tỷ phú, lãnh đạo các tập đoạn lớn, các nhà lãnh đạo quốc gia, ha thậm chí là FBI”, Bkav cho biết thêm.

Bkav cũng chỉ ra rằng, trong tương lai khi kỹ thuật trở nên tinh vi hơn, người ta chỉ cần dùng một chiếc điện thoại thông minh nhanh chóng quét khuôn mặt của nạn nhân hoặc thậm chí là mô phỏng khuôn mặt 3D từ những hình ảnh 2D cũng có thể đánh lừa được Face ID. Tuy nhiên, Bkav không đưa ra được điều gì chứng minh cho những công nghệ này.

Bkav không phải là đơn vị đầu tiên thử nghiệm hack Face ID với phương pháp này. Trước đây WIRED cũng đã từng thử nghiệm với cách tương tự khi họ vừa có được chiếc iPhone X. Cụ thể, các chuyên gia công nghệ của WIRED đã liên hệ với các nghệ sĩ hiệu ứng hàng đầu trong ngành hoá trang để tạo ra một chiếc mặt nạ 3D với chi phí lên đến hàng nghìn đô la. Chiếc mặt nạ này được mô phỏng gần như chính xác với khuôn mặt của người được thử nghiệm với 5 vật liệu khác nhau. Mẫu mặt nạ này đươc thiết kế cho phép mắt chuyển động thật và hàng ngàn sợ lông mày được đính trên mặt nạ và có cả tóc thật để đánh lừa cảm biến hồng ngoại của iPhone. Nhưng tất cả các mặt nạ được dùng để thử nghiệm đều không có thể đành lừa được Face ID.

Ngược lại, các chuyên gia của Bkav đã hack thành công Face ID chỉ với một chiếc mặt nạ rẻ tiền. Các nhà nghiên cứu của Bkav vẫn chưa tiết lộ nhiều về phương pháp mà hãng sử dụng để đánh lừa Face ID, điều này khiến chúng tôi khá hoài nghi về cách mà họ đang dùng. Nhưng họ nói rằng Face ID chỉ nhận diện một phần nào đó trên khuôn mặt.

Bkav nói rằng, “cơ chế nhận diện khuôn mặt của Face ID không chặt chẽ như bạn nghĩ, chúng tôi chỉ cần một nữa khuôn mặt để tạo ra chiếc mặt nạ. Thậm chí còn đơn giản hơn chúng ta nghĩ.”

Tuy nhiên, Bkav không công thêm chi tiết về quá trình, họ sẽ công bố nhiều thông tin hơn trong buổi họp báo được tổ chức vào cuối tuần này.

Chuyên gia nghiên cứu bảo mật Marc Rogers đã chỉ ra rằng: “Nhân viên của Bkav đã sử dụng một số thủ thuật để làm suy yếu khả năng nhận diện của Face ID bằng cách nhận diện khuôn mặt của chủ nhân với một số chi tiết bị che khuất. Về cơ bản là cho iPhone X nhận diện khuôn mặt của người dùng giống như chiếc mặt nạ kia, chủ không phải là tạo ra một chiếc mặt nạ giống hệt khuôn mặt người dùng.”

Để đáp ứng lại câu hỏi của Wired, Bkav đã phủ nhận những phương pháp mà Wired cho rằng Bkav đang áp dụng để đánh lừa Face ID. Một nhân viên phát ngôn của Bkav đã nói rằng, chiếc mặt nạ đã đánh lừa Face ID ngay lần đầu tiên thực hiện.

Bkav có được sự tin tưởng khi cách đây gần một thập kỷ tước, các nhà nghiên cứu của công ty đã tìm ra cách vượt qua lớp bảo mật nhận diện khuôn mặt của các nhà sản xuất máy tính bao gồm Lenovo, Toshiba và Asus, với các không thể đơn giản hơn là bằng một tấm ảnh chụp 2D. Họ đã công bố phát hiện tại hội nghi bảo mật Black Hat 2009.

Rogers cũng bày tỏ ý kiến của mình rằng, bằng sáng chế của Apple đã khiến ông tin rằng Face ID không chỉ nhận diện khuôn mặt mà còn nhận diện cả chuyển động của mắt. Bởi nếu lỡ không may chiếc iPhone X bị đánh cắp khi người chủ đang ngủ thì nó có thể dể dàng bị mở khoá, hoặc thậm chí là nó có thể mở khoá khi người chủ đã chết.

Cuối cùng Rogers nói, “Nếu thử nghiệm này là thật thì Face ID kém an toàn hơn so với Touch ID.”

Tuy nhiên, đây không phải là điều mà chúng ta phải quá lo lắng. Điều lo lắng nhất là trong cuộc sống hằng ngày chúng ta có thể bị một ai đó đánh cắp điện thoại khi đang ngủ, bắt cóc và mở khoá bằng khuôn mặt của bạn.

Di Động Việt

ĐĂNG BÌNH LUẬN