Các chuyên gia bảo mật và các trang tin công nghệ trên thế giới đều rất quan tâm đến phát hiện của Bkav vừa qua.
Việc Bkav tìm ra cách đánh lừa Face ID trên iPhone chỉ bằng một chiếc mặt nạ 150 USD đã gây ra rất nhiều tranh cãi. Các chuyên gia bảo mật trên thế giới đều đang chú ý đến sự kiện này và liên tục đặt ra những câu hỏi cho Bkav.
Mới đây, WIRED cũng đã có một bài viết chia sẻ nhận định của biên tập viên công nghệ Andy Greenberg, khi mà trước đó trang web này cũng đã từng thử vượt qua bảo mật Face ID bằng những chiếc mặt nạ trị giá hàng nghìn USD nhưng không thành công.
Tiếp đó, trang web công nghệ khá nổi tiếng Ars Technica cũng đã có một buổi phỏng vấn trực tuyến với đại diện của Bkav, để trao đổi thêm các chi tiết về phương pháp mở khóa Face ID bằng mặt nạ in 3D của công ty bảo mật Việt Nam.
Ars: Bkav có thể sử dụng mặt nạ để mở khóa Face ID, ngay sau khi iPhone X vừa mới ghi lại khuôn mặt nhận diện hay không? Lý do của câu hỏi này là vì theo báo cáo của Apple, Face ID có khả năng tự học hỏi theo thời gian để phù hợp với sự thay đổi khuôn mặt của người dùng. Có nghĩa là càng để lâu thì Face ID có thể nhận diện với một khuôn mặt hơi khác so với ban đầu. Các anh có thể mô tả chính xác từng bước thực hiện thí nghiệm này không?
Bkav: Việc Face ID học thêm những hình ảnh khuôn mặt mới không quá quan trọng, bởi nó không ảnh hưởng đến sự thật là Face ID của Apple không phải biện pháp bảo mật hiệu quả. Tuy nhiên chúng tôi cũng hiểu cơ chế học tập của Face ID, vì vậy để có một kết quả thuyết phục hơn, chúng tôi đã áp dụng quy tắc nghiêm ngặt không sử dụng mật khẩu passcode.
Ars: Các anh có thể giải thích tại sao phương pháp của mình lại hoạt động, trong khi những chiếc mặt nạ của tạp chí WIRED lại thất bại?
Bkav: Bởi vì chúng tôi là công ty bảo mật và an ninh mạng hàng đầu. Thật khó để có thể tạo ra những chiếc mặt nạ mà không có kiến thức về bảo mật. Chúng tôi có thể đánh lừa hệ thống AI của Apple, vì chúng tôi có thể hiểu rõ cách thức hoạt động. Như năm 2008, chúng tôi là những người đầu tiên chứng minh rằng bảo mật bằng khuôn mặt không phải công nghệ bảo mật hiệu quả cho máy tính xách tay.
Ars: Kích thước khuôn mặt có phải yếu tố quan trọng không? Làm thế nào để có thể tạo ra chiếc mặt nạ nếu người đó không ngồi trước mặt bạn để đo đạc và ghi lại?
Bkav: Đầu tiên, mọi thứ dễ dàng hơn chúng ta vẫn nghĩ. Mọi người có thể thử với iPhone X, chiếc điện thoại này nhận ra bạn ngay cả khi che mất một nửa khuôn mặt. Điều đó có nghĩa là cơ chế nhận diện không nghiêm ngặt như bạn nghĩ. Chúng tôi chỉ cần một nửa khuôn mặt để tạo ra chiếc mặt nạ, nó đơn giản hơn bạn nghĩ.
Apple đã làm không tốt. Chúng tôi đã từng đọc một báo cáo của Mashable, về việc Apple sẽ tung ra công nghệ Face ID vào năm 2018, nhưng cuối cùng nó đã xuất hiện sớm hơn một năm. Điều đó cho thấy Apple chưa thực sự sẵn sàng, với việc nghiên cứu thực tế để có thể thay thế Touch ID bằng Face ID.
Thứ hai, trong an ninh mạng chúng tôi gọi đây là Proof of Concept, nghĩa là một phát hiện có ích cho cả hai bên hacker và người dùng. Các hacker có thể lợi dụng phát hiện này để tìm ra những phương pháp tấn công mới. Trong khi đó, người dùng cũng có hiểu biết để tự bảo vệ mình.
Nó giống như lỗ hổng bảo mật KRACK, mối đe dọa là có thật nhưng nó không dễ dàng để khai thác. Có thể phương pháp này khó sử dụng đối với người bình thường, nhưng các chính trị gia, tỷ phú, FBI hay CIA cần phải biết, bởi các thiết bị của họ có thể bị mở khóa một cách bất hợp pháp.
Ars: Chi phí ước tính của chiếc mặt nạ là bao nhiêu?
Bkav: Khoảng 150 USD.
Ars: Phải mất bao lâu để tạo ra chiếc mặt nạ, bao gồm cả mô hình 3D và các chi tiết khác?
Bkav: Chúng tôi bắt đầu thử nghiệm ngay khi nhận được chiếc iPhone X vào ngày 5 tháng 11.
Ars: Công nghệ và kỹ thuật nào đã được sử dụng để tạo ra chiếc mặt nạ in 3D với các thành phần trên chiếc mặt nạ?
Bkav: Chúng tôi sử dụng một máy in 3D khá phổ biến. Chiếc mũi silicon được làm thủ công bởi một nghệ nhân. Và các bộ phận khác sử dụng ảnh chụp 2D, tương tự cách chúng tôi đánh lừa bảo mật khuôn mặt 9 năm trước. Một phần da cũng được làm bằng tay.
Các tranh luận vẫn đang tiếp tục diễn ra. Một số chuyên gia bảo mật cho rằng có thể một số thủ thuật đã được sử dụng ở đây để đánh lừa Face ID. Trong khi đó Ars Technica vẫn đang tiếp tục gửi các câu hỏi qua email cho Bkav để làm rõ những chi tiết.
Theo: GenK