Chuyên gia bảo mật nói gì về vụ mở khóa iPhone X của Bkav

Việc Bkav tuyên bố có thể dùng mặt nạ để mở khóa iPhone X vẫn tiếp tục gây nhiều tranh cãi.

Marc Rogers, người đứng đầu hội nghị hacker lớn nhất thế giới Defcon, đã chia sẻ quan điểm của ông trên trang cá nhân.

Ảnh: Channelnews.

“Theo công ty bảo mật Việt Nam Bkav, họ có khả năng mở khóa điện thoại bằng một chiếc mặt nạ 3D với mắt in 2D và mũi giả… Điều này dường như không thể xảy ra, nhất là khi Apple trước đó đã nói về những thử nghiệm họ thực hiện để bảo mật FaceID.

Điều có vẻ đúng hơn là Bkav có thể đã ‘làm yếu’ mô hình của Neural Engine (hệ thống xử lý AI) bằng cách luyện nó với chiếc mặt nạ, về cơ bản là ‘đầu độc’ nó và tạo ra một cổng hậu.

Nếu những băn khoăn của tôi đúng, thì đây không phải là phá vỡ FaceID mà chỉ là phá vỡ một phần nhờ biết trước passcode của máy. (Bkav cho biết họ không dùng passcode, mà dùng khuôn mặt của chủ nhân iPhone X để mở khóa mỗi khi máy không nhận diện được mặt nạ).

Dù vậy, đây vẫn là một phương pháp thông minh và làm phát sinh một số vấn đề. Câu hỏi lớn nhất là vì sao iPhone X không nhận ra đó là cặp mắt giả. Một công cụ nhận diện khuôn mặt thực sự bảo mật phải phân biệt được người thật và cấu trúc giả.

FaceID sử dụng camera hồng ngoại chiếu 30.000 điểm lên khuôn mặt. Điều này có thể nhìn thấy và chụp lại bằng máy ảnh DSLR với bộ lọc IR. Sử dụng những điểm này, FaceID đã xây dựng bản đồ khuôn mặt bạn và nhập thông tin vào hệ thống Neural Engine. Mô hình máy học này sẽ học khuôn mặt bạn và ngày càng hoàn thiện hơn.

Video đang HOT

FaceID không đòi hỏi toàn bộ khuôn mặt bạn mới mở khóa. Một số phần có thể có hoặc không, trong khi một số khác là bắt buộc, nhằm hạn chế tỷ lệ nhận diện thất bại. Như tôi biết, phần bắt buộc nằm ở khung tam giác tạo bởi cặp mắt và mũi. Mắt mũi là những bộ phận ít thay đổi trên khuôn mặt trong khi các thứ khác như tóc, tai, môi, cằm/râu… có thể biến đổi hàng ngày trong điều kiện môi trường khác nhau. Điều này hợp lý, nhưng cũng làm giảm đáng kể sự phức tạp trong việc đòi hỏi kẻ tấn công cần thực hiện những gì. Xây dựng một bản đồ chính xác của một phần trên khuôn mặt thì dễ hơn nhiều việc xây dựng cả khuôn mặt.

Bạn có thể mở khóa điện thoại của ai đó bằng cách đưa máy để họ liếc nhìn vào đó. Nó dường như hoạt động khi chúng ta nhìn thẳng, hoặc ở một góc nghiêng, nhưng không hoạt động khi quét từ bên cạnh. Với tôi, đây là điểm yếu khó chịu nhất trên hệ thống FaceID. Kịch bản không khó tưởng tượng là kẻ cướp bắt bạn nhìn vào điện thoại sau khi giật máy của bạn.

Hacker cũng có thể ‘đầu độc’ mô hình của Neural Engine. Đó là biện pháp mà tôi nghĩ hãng bảo mật Bkav đã làm. Tôi nghĩ đó cũng là lý do cơ bản lý giải cho một số video về việc các thành viên trong gia đình có thể mở khóa điện thoại của nhau.

Là một hacker, tôi tin chắc bất cứ thứ gì con người làm ra thì cũng đều có thể bị phá vỡ. Ai đó sẽ tìm cách để đánh lừa nhận diện khuôn mặt, thì cũng có ai đó sẽ tiếp tục cải thiện nó. Câu hỏi duy nhất chúng ta nên đưa ra là liệu một giải pháp đã đủ an toàn chưa. Không có cuộc tấn công nào chúng ta chứng kiến gần đây đủ tính thực tế.

Tuy nhiên, vẫn có bốn điểm cần giải quyết:

- Quá dễ nếu ai đó lấy điện thoại của bạn và dùng khuôn mặt bạn để mở khóa.

- Sự thất bại trong việc phân biệt mắt in và mắt thật.

- Tỷ lệ các phần trên khuôn mặt bạn được sử dụng để mở khóa điện thoại.

- Lỗ hổng trong Neural Engine khiến mô hình dễ bị đầu độc.”

Trong khi đó, theo tạp chí Fortunes, một số chuyên gia bảo mật nói rằng vần đề không phải là liệu FaceID có thể bị hack hay không, mà là bao nhiêu công sức phải bỏ ra để thực hiện một vụ tấn công.

“Chẳng có gì an toàn tuyệt đối”, Terry Ray, Giám đốc công nghệ tại công ty bảo mật Imperva, nói. “Câu hỏi đặt ra là: một người sẽ phải gặp bao nhiêu khó khăn, tốn bao nhiêu thời gian để lấy được dữ liệu của bạn?”.

Ngày 11/11, Bkav đăng video thông báo tính năng FaceID trên điện thoại mới của Apple có thể bị vượt qua bằng mặt nạ 3D. Tuyên bố “Bị đánh bại bởi mặt nạ của Bkav, Face ID không đủ mức độ an ninh” trên trang chủ của Bkav không chỉ nhận được sự quan tâm của giới công nghệ trong nước mà đã xuất hiện trên nhiều trang quốc tế.

Theo Bkav, mặt nạ mà họ làm ra hết 150 USD (khoảng 3,4 triệu đồng). Trong khi các trang lớn như Wired hay WSJ đã tốn hàng nghìn USD để làm mặt nạ, dùng nhiều chất liệu khác nhau, nhưng vẫn không “xuyên thủng” được hàng rào bảo vệ của iPhone X.

“Chúng tôi đã thông báo lỗ hổng này với Apple và chờ đợi nhà sản xuất khắc phục, trước khi cân nhắc công bố rộng rãi một số khả năng có thể tấn công”, đại diện của Bkav nhấn mạnh.

Minh Minh

Theo VNE

Bảo mật trên Galaxy Note 8 và iPhone X có gì đặc biệt? iPhone X, Galaxy Note 8 không chỉ gầm ghè nhau về thương hiệu, tính năng, giá bán. Giờ đây tính năng nhỏ như bảo mật cũng được đem ra mổ xẻ. Hai siêu phẩm đầu bảng cùng ra mắt trong thời gian gần đây, nhưng lại đang có dấu hiện đi hai ngã rẽ trái ngược. Nếu như Galaxy Note 8 vẫn băng...