BKAV khẳng định không dùng thủ thuật để mở Face ID

Sau khi đăng tải video “qua mặt” Face ID bằng mặt nạ, BKAV đã nhận nhiều hoài nghi từ các trang báo công nghệ lớn trên thế giới như Cnet, Engadget, Arstechnica, Business Insider hay Wired.

Một số trang cũng từng thử nghiệm việc dùng mặt nạ chất lượng cao trị giá lên đến hàng nghìn USD để thử thách Face ID, nhưng tất cả đều thất bại. Trong khi đó, công ty an ninh mạng Việt Nam chỉ sử dụng các công nghệ bình thường để tạo ra chiếc mặt nạ với chi phí hơn 150 USD.

Để giải đáp các thắc mắc và hoài nghi từ cộng đồng thế giới, BKAV đã gửi email phản hồi đến Arstechnica - trang tin công nghệ Mỹ, trước khi tổ chức buổi họp báo công khai vào sáng 15/11. Dưới đây là nội dung phần phản hồi của BKAV.

- Theo báo cáo của Apple, tính năng Face ID sẽ tự động học hỏi khuôn mặt để có thể làm tốt nhất chức năng bảo mật và cập nhật cơ sở dữ liệu người dùng. Vì thế, nhiều người nghi ngờ BKAV sử dụng tính năng này để qua mặt Face ID?

- Thực tế, vấn đề không nằm ở việc Face ID có tính năng tự học hỏi hay không, bởi vì nó không tác động gì đến thực tế. Sinh trắc học khuôn mặt của Apple không phải là biện pháp có tính bảo mật cao.

Chúng tôi có biết về khả năng này. Chính vì thế, để thí nghiệm thực sự thuyết phục, BKAV đã áp dụng quy tắc “không sử dụng mật mã” khi tạo mặt nạ.

- Tại sao BKAV có thể qua mặt thành công Face ID, trong khi trước đó các nỗ lực của tạp chí Wired đã thất bại?

- Điều đầu tiên, chúng tôi là một công ty an ninh mạng hàng đầu. Những kiến thức của chúng tôi về lĩnh vực này giúp chúng tôi có thể hiểu rõ được cơ chế hoạt động và có thể qua mặt Face ID. Tuy nhiên, nếu không có kinh nghiệm và kiến thức trong an ninh, rất khó để tạo ra mặt nạ đủ độ chính xác để qua mặt phương thức sinh trắc học này.

Trong quá khứ, chúng tôi từng chứng minh phương pháp sinh trắc học khuôn mặt trên máy tính cá nhân của các hãng Asus, Lenovo và Toshiba không an toàn cho việc bảo mật.

- Kích thước khuôn mặt của một người có phải là yếu tố cần thiết không? Làm thế nào các bạn có thể lấy những thông tin này nếu mục tiêu không ngồi yên một chỗ cho bạn đo đạc?

- Thứ nhất, mọi việc diễn ra dễ dàng hơn bạn nghĩ. Bạn có thể thử nó với chiếc iPhone X của mình, điện thoại sẽ nhận ra bạn ngay cả khi bạn che một nửa khuôn mặt. Điều đó có nghĩa là cơ chế nhận dạng không nghiêm ngặt như bạn nghĩ. Apple dường như đã phụ thuộc quá nhiều vào AI của Face ID. Chúng tôi chỉ cần một nửa khuôn mặt để tạo mặt nạ. Nó thậm chí còn đơn giản hơn chúng tôi từng nghĩ.

Apple đã làm điều này không tốt. Tôi nhớ mình từng đọc một bài báo trên Mashable, trong đó Apple nói rằng iPhone X đã được lên kế hoạch tung ra thị trường vào năm 2018, nhưng công ty sau đó quyết định ra mắt trước một năm. Điều này cho thấy họ chưa đánh giá một cách khoa học và nghiêm túc trước khi quyết định thay thế Touch ID bằng Face ID.

Thứ hai, trong an ninh mạng, chúng tôi gọi nó là Chứng minh Nguyên lý (Proof of Concept), vốn hữu ích cho cả hai bên, tin tặc và người dùng. Hacker, họ có thể tìm ra một cách đơn giản để khai thác thiết bị của người dùng dựa trên PoC đó. Trong khi với người dùng, nếu họ biết về khả năng này, họ sẽ không sử dụng tính năng đó nữa để bảo vệ mình an toàn.

Giống như cuộc tấn công KRACK, không dễ dàng để khai thác thành công nhưng người dùng được yêu cầu phải cập nhật bản vá càng sớm càng tốt, bởi vì các mối đe dọa là có thật. Với việc Face ID bị đánh bại bởi mặt nạ của chúng tôi, FBI, CIA, các nhà lãnh đạo quốc gia, lãnh đạo các tập đoàn lớn là những đối tượng cần biết, bởi vì các thiết bị của họ "xứng đáng" với những nỗ lực mở khóa bất hợp pháp. Việc khai thác là khó khăn cho người sử dụng bình thường, nhưng lại đơn giản với những người chuyên nghiệp.

- Mất chi phí và thời gian bao lâu để tạo ra một mô hình mặt nạ có thể qua mặt được Face ID?

- Mặt nạ được tạo ra với chi phí khoảng 150 USD. Nó được chế tạo ngay sau khi BKAV nhận iPhone X ngày 5/11.

- BKAV đã sử dụng chất liệu gì để làm mô hình này? Có điều gì đặc biệt về công nghệ để sản xuất nó?

- Thực tế là không có gì quá đặc biệt. Chúng tôi đã sử dụng một máy in 3D thông thường. Phần mũi bằng silicone được đặt hàng từ một nghệ nhân. Tuy nhiên, trong quá trình thử nghiệm, nó đã không đạt tiêu chuẩn.

Lúc đó, công việc của các kỹ sư BKAV bắt đầu. Một số thay đổi trên mũi đã được thêm vào để có thể “đánh lừa” được Face ID. Đó cũng chính là lý do có một số điểm trên mũi có màu sắc khác biệt so với phần còn lại.

Hiện chúng tôi vẫn tiếp tục thu thập câu hỏi và hứa sẽ giải thích thoả đáng trong buổi họp báo ngày 15/11.

Theo Hoàng Phong (Tri Thức Trực Tuyến)