Đôi điều về Face ID bị đánh lừa: không hề dễ, vẫn rất bảo mật, BKAV sẽ liên hệ với Apple

Mấy ngày nay làng công nghệ Việt Nam và thế giới đang râm ran về việc hãng bảo mật BKAV đánh lừa thành công để mở khóa iPhone X bằng một chiếc mặt nạ.
Đôi điều về Face ID bị đánh lừa: không hề dễ, vẫn rất bảo mật, BKAV sẽ liên hệ với Apple

Tới hôm nay thì BKAV đã đưa mọi thứ ra ánh sáng và họ làm được, bằng chứng cũng như cách họ làm thì đã có trong một bài viết mà TCN đã chia sẻ. Trong bài này mình muốn chia sẻ đôi điều về việc đánh lừa thành công Face ID với trí thông minh nhân tạo (AI), suy nghĩ về BKAV cũng như những lùm xùm quanh chuyện có dễ dàng hack iPhone X hay không.

Để bắt đầu thì mình nghĩ là cần làm rõ vài quan điểm để tránh gây ra tranh cãi xung quanh và anh em hiểu rõ hơn. BKAV không nói hành động của họ là hack, và sau khi công bố kết quả đã chứng minh họ không hack mà đúng hơn là tìm ra lỗ hổng bằng cách đánh lừa hệ thống Face ID có AI hỗ trợ. Thứ 2, hãy nghĩ BKAV như là một công ty bảo mật (thực tế thì BKAV đi lên là công ty bảo mật) chứ không phải hãng smartphone (tư cách là đối thủ cạnh tranh với Apple) và điều họ làm (tìm tòi lỗ hổng bảo mật) là hoàn toàn đáng ghi nhận chứ không phải chiêu trò gì đó như một vài anh em nghĩ.

BKAV đã đánh lừa được Face ID bằng mặt nạ

BKAV đã chứng minh họ đánh lừa được hệ thống Face ID tiên tiến trên iPhone X, điều này đáng được ghi nhận. Bất kể bằng cách gì đi nữa thì họ đã cho thấy họ dùng mặt nạ và mở được iPhone X trong khi Apple nói mặt nạ không thể dùng để mở Face ID. Bất ngờ hơn, họ làm điều này ngay cả khi chế độ Require Attention (yêu cầu người dùng nhìn vào máy, ánh mắt phải nhìn vào máy thì mới mở được, nếu nhìn ra chỗ khác thì Face ID không mở) được kích hoạt. Tại sao mình phải nhấn mạnh chế độ Require Attention bởi vì Face ID rất thông minh ở chỗ nó không chỉ nhận diện được ảnh chụp khuôn mặt mà còn nhận biết chủ nhân có đang nhìn vào máy không, chỉ khi nhìn vào (một mắt cũng được) thì máy mới mở nhưng BKAV cho thấy điều đó không đúng trong mọi trường hợp.


Trái là anh Tuấn Anh thật còn chiếc mặt nạ xa xa là mô phỏng anh Tuấn Anh để đánh lừa Face ID
Trước khi xem BKAV trình diễn thì mình cũng nghi ngờ về điều này bởi theo Apple thì Face ID yêu cầu người dùng phải nhìn vào máy, chứng tỏ Face ID có khả năng phân biệt khi mắt nhìn vào và không, cũng như mắt thật và giả. Tuy nhiên suy nghĩ của mình chỉ đúng một phần. Đúng là Face ID có thể nhận biết khi mắt nhìn vào máy hay không nhưng Face ID có thể nhận ra thật giả là sai, ở đây mình đang nói riêng về mắt. Trong phần demo của mình, anh Tuấn Anh từ BKAV đã che một mắt bằng băng keo đục và mắt còn lại được dán tờ giấy in mắt của anh này (anh này sẽ không nhìn thấy gì và phải nhờ một bạn khác cầm máy để đưa lên mặt), khi đó Face ID sẽ vẫn nhận ra đó là anh Tuấn Anh và mở máy. Điều này không nhằm chứng minh Face ID dễ dàng bị qua mặt mà chỉ nhằm chứng minh chế độ Require Attention là có thể bị đánh lừa và Face ID sẽ mở khóa với một vài thành phần trên mặt (không phải tất cả thành phần hoàn chỉnh).

Đánh lừa Face ID không dễ như nhiều người nghĩ, BKAV phải trải qua nhiều mẫu, căn chỉnh vị trí và góc để ép Face ID nhận mặt nạ. Nhiều ảnh của anh Tuấn Anh được in ra để cắt mắt, mồm và mũi rồi dán lên mặt nạ rồi căn chỉnh vị trí. Chiếc Sony Xperia XZ1 kia dùng để nói khả năng tạo 3D khuôn mặt của chúng ta.

Trước BKAV, nhiều tổ chức và trang web công nghệ đã từng thử nhưng không thành công, vậy tại sao BKAV lại thành công? BKAV đã có cách riêng của mình và họ rất thông minh. Nói vậy anh em đừng vội nghĩ là họ ngoan cố đánh lừa và dùng chiêu trò bởi họ là một công ty bảo mật và tìm ra lỗ hổng là việc họ cần làm. Những trang tin công nghệ cũng đã từng dùng mặt nạ để đánh lừa Face ID nhưng mặt nạ họ dùng chỉ là in 3D đơn thuần và điều đó khó lòng đánh lừa được Face ID, một thành quả chắc hẳn Apple rất tự tin, tới nỗi họ dám bỏ đi Touch ID để Face ID là phương thực bảo mật sinh trắc duy nhất trên iPhone X (không tính passcode). Thực tế thì Apple cũng có tạo ra rất nhiều mặt nạ để dạy cho Face ID cách phân biệt thật giả nhưng như mod sonlazio có nói thì có thể dữ liệu đó quá 'sạch' còn ở trường hợp của BKAV thì họ cũng dùng mặt nạ nhưng thêm vào đó là những yếu tố mà họ gọi là nửa giả - nửa thật bao gồm mồm, mắt được in giấy và dán vào, mũi silicon... Và qua nhiều lần thử thì họ đã thành công, Face ID bị đánh lừa bởi một mặt nạ họ gọi là nửa giả - nửa thật.

BKAV nói gì: dùng cả triết học tìm mấu chốt, thử rất nhiều lần mới thành công, Face ID không bảo mật bằng Touch ID, sẽ liên hệ với Apple

Sau khi đánh lừa thành công thì anh Quảng và đội ngũ của mình có chia sẻ về điều này. Anh nói ngay sau khi Apple công bố thì đã nghĩ tới việc sẽ cố gắng tìm lỗ hổng của Face ID bởi có lẽ đó là nghề của những người làm bảo mật như anh. Quay trở lại thời điểm 2008 thì BKAV đã bắt đầu phân tích tính năng nhận diện khuôn mặt, vốn rất sơ khải thuở đó, để tìm ra lỗ hổng và đã thành công trong một sự kiện ở Washington, Mỹ. Nói như vậy để thấy việc làm của những công ty bảo mật là cần thiết bởi họ giúp tìm ra lỗ hổng và khắc phục chứ không phải tìm ra rồi lợi dụng để tấn công hoặc tống tiền như kẻ xấu.

Quay trở lại vấn đề, anh Quảng nói đội ngũ của anh mất rất nhiều thời gian để tìm cách đánh lừa Face ID, thậm chí vận dụng cả triết học để tìm mấu chốt vấn đề (mình không rõ triết học được vận dụng như nào

) bởi nếu không sẽ rất dễ chán nản và từ bỏ. Với mỗi mẫu thì BKAV đều mất nhiều ngày với nhiều lần thử, thậm chí là thử và loại bỏ. Nhiều anh em nói rằng như vậy thì ai cũng làm được, thậm chí với passcode thì dò hàng nghìn lần cũng có thể sẽ ra, hoặc việc BKAV thử 4 lần rồi sang lần thứ 5 ko thử nữa vì iPhone đòi passcode, khi đó phải đưa mặt người thật vào và tiếp tục thử... Tất cả những quy trình đó đều là BKAV đang tìm cách để khai thác lỗ hổng chứ không phải cung cấp cho anh em một cách để truy cập trái phép vào máy có Face ID của ai đó.

Mũi silicon được dùng vì nó thật hơn và chính xác hơn. Một vài chi tiết nhỏ sau đó còn được dùng bút màu để tô màu nâu lên sao cho giống thật nhất. Nói chung đó là cả một quá trình đòi hỏi công sức chứ không phải in mặt nạ 3D, cắt mắt, mồm, mũi dán lên là lừa được Face ID.

Tới một ngày thì BKAV đã đánh lừa thành công Face ID nhưng rất khó khăn, tới bây giờ thì cũng rất khó, tức là có lỗ hổng nhưng không phải điều dễ dàng. Bằng chứng là iPhone X phải được đặt ở một vị trí, một góc cố định và nếu sai lệch một chút sẽ không nhận ra. Đơn cử như với cùng mặt nạ đó nhưng sau khi reset Face ID và quét lại với mặt của người đó (mặt người được dùng để quét 3D tạo ra mặt nạ) thì cũng phải căn chỉnh lại, thậm chí mất 8-9 tiếng đồng hồ thì mặt nạ mới đánh lừa được Face ID. Thậm chí khi tạo ra mặt nạ này thì BKAV phải căn chỉnh các chi tiết như mồm, mũi, mắt từng tí một chứ không đơn thuần dán giấy lên là xong. Không những thế, BKAV còn phải đánh giấu 3 vị trí ở mặt lưng của iPhone X để khi gỡ nó ra và đặt lại vào khung (phía trước của mặt nạ) mới chính xác để Face ID có thể bị đánh lừa. Khá bất ngờ khi BKAV phát hiện ra mũi là thành phần đóng vai trò rất quan trọng để Face ID nhận diện mặt chủ nhân, đó là lý do họ phải dùng mũi silicon với độ chính xác cao chứ không phải mũi được in 3D trên mặt nạ.

Khi được hỏi về phản ứng của Apple thì anh Quảng nói sau khi công bố mấy ngày nay chưa thấy Apple liên hệ hay phản hồi bởi họ có truyền thống im lặng, ít khi lên tiếng và chỉ âm thầm vá lỗi. Anh cũng cho biết anh sẽ gửi thông tin, bao gồm POC việc Face ID bị đánh lừa và những kịch bản có thể dùng để tấn công (kịch bản không được BKAV tiết lộ với bất cứ ai) cho Apple vào tuần tới. Chưa rõ động thái của Apple sẽ là gì nhưng mình nghĩ họ sẽ vá lỗi và dạy lại Face ID để nó phân biệt được những mặt nạ nửa giả - nửa thật như BKAV làm. Hiện tại, nguồn tin Reuters cho biết Apple chỉ dẫn các nhà báo tới trang web mô tả về Face ID mà thôi chứ không bình luận gì thêm.

Anh Quảng cũng nói sau vụ này Apple nên khuyên người dùng không nên dùng Face ID khi thanh toán hoặc cảnh báo như Samsung đã làm với Iris Scanner. Tuy nhiên mình nghĩ đó là điều không cần thiết bởi như đã nói, để đánh lừa hoàn toàn được Face ID phải đòi hỏi căn chỉnh rất kỹ các góc và chi tiết mặt nạ và không dễ gì làm điều đó khi thanh toán Apple Pay.

Suy nghĩ cá nhân mình

Sau khi đánh lừa thành công thì anh Quảng có đưa ra một vài kết luận về Face ID cũng như khả năng bảo mật vận dụng trí tuệ nhân tạo của con chip A11 Bionic. Anh nói rằng với Face ID thì trí tuệ nhân tạo là do Apple tạo ra, dạy cho nó và nếu bạn có kinh nghiệm nhiều hơn thì sẽ vượt qua được. Có thể hiểu ý ở đây là không phương thức bảo mật nào là an toàn tuyệt đối và vẫn có lỗ hổng, cũng như AI không phải quá thông minh mà nó vẫn có thể bị vượt qua nếu bạn có kinh nghiệm về bảo mật.

Nhiều phát biểu của lãnh đạo BKAV là đúng nhưng đôi khi có những phát biểu khác lại gây tranh cãi và khiến nhiều người hiểu lầm. Anh Quảng có nói anh theo dõi và nghiên cứu về bảo mật khuôn mặt từ 2008, tới nay là 9 năm và nó chưa hoàn thiện, điều đó không hoàn toàn đúng, ít nhất với người dùng bình thường như anh em Tinh tế. Hay như việc khẳng định Face ID dễ dàng bị vượt qua. Rõ ràng Face ID vẫn cho thấy nó là một phương thức bảo mật hết sức tiện lợi nhưng an toàn. BKAV phải mất nhiều ngày mới tìm ra lỗ hổng và trong quá trình tìm lỗ hổng thì vẫn yêu cầu chủ nhân chiếc máy đó ở bên để nhập khuôn mặt sau 4 lần thử sai. Okay vậy sẽ có nhiều người nói nếu dùng máy ảnh chụp khuôn mặt từ rất xa (dùng ống kính tele) rồi in 3D thành mặt nạ như BKAV làm thì sao? Cũng rất khó khăn vì yêu cầu nhiều lần thử. Khi đó bạn sẽ chỉ có 4 lần thử thôi rồi máy sẽ khóa Face ID và bắt nhập passcode, lúc đó lấy đâu ra mặt chủ nhân để thử và loại bỏ tiếp?

Hay như việc anh Quảng nói Face ID không bảo mật như Iris Scanner, rồi Iris Scanner không bảo mật tốt như vân tay cũng hơi phiến diện cho người dùng bình thường. Anh Quảng cho rằng Iris Scanner trên máy Galaxy S8/Note8 bảo mật tốt hơn vì nó không bị đánh lừa bởi cặp sinh đôi như Face ID (mặc dù BKAV cũng đã đánh lừa thành công Iris Scanner). Tuy nhiên những người dùng bình thường không quan tâm nhiều tới những trường hợp rất cá biệt đó, họ cần một phương thức bảo mật và tiện lợi, đủ an toàn với dữ liệu nhưng đủ nhanh để mở chứ không gây bất tiện. Với những nguyên thủ quốc gia, người rất nhiều tiền hay có thông tin quan trọng thì họ sẽ không dùng Face ID, không dùng quét mống mắt hay thậm chí là vân tay để bảo vệ dữ liệu tối quan trọng cả.

Một lời khuyên là anh em dùng iPhone X thì cứ yên tâm dùng Face ID và đừng lo lắng quá nhiều bởi nó không dễ bị tấn công như anh em nghĩ hay như cách mà BKAV làm bởi nó đòi hỏi thời gian, có mặt của chủ nhân và cả sự tìm tòi mấu chốt vấn đề. Hay như việc nhiều cặp sinh đôi có thể mở iPhone X bằng Face ID, thậm chí là con trai giống khuôn mặt mẹ mở iPhone X của mẹ cũng bằng Face ID cũng không quá lo ngại bởi đó là những trường hợp cá biệt, trừ khi bạn là sinh đôi hoặc nằm trong những trường hợp cá biệt đó.

Về phía BKAV, mình đánh giá họ đã làm một công việc đáng trân trọng, đó là tìm ra lỗ hổng của Face ID và có thể đánh lừa nó, mặc dù rất khó.

Sau vụ này, không rõ Apple sẽ vá lỗ hổng đó không, hoặc có dạy cho A11 Bionic thông minh hơn không nhưng BKAV cho thấy nó vẫn tiềm tàng lỗ hổng.

TIN LIÊN QUAN

Ngày mai Bkav sẽ tổ chức họp báo công khai về việc "qua mặt" Face ID trên iPhone X với mặt nạ 3D

Như vậy là chỉ sau ít ngày khi tung ra video chứng mình việc 'đánh lừa' thành công Face ID trên iPhone X với mặt nạ 3D thì ngày mai Bkav sẽ tổ chức họp báo để công khai về sự việc đang rất được nhiều người quan tâm này.

Bkav chỉ là đánh lừa được Face ID, chưa phải hack. Face ID vẫn an toàn

Sự kiện Bkav đã hack thành công Face ID của iPhone X đã thu hút được sự chú ý không chỉ giới công nghệ trong nước mà còn cả các trang tin nổi tiếng ở nước ngoài.

Bkav chia sẻ cách đánh bại được Face ID trên iPhone X của Apple

CEO Nguyển Tử Quảng của Bkav đã chia sẻ quá trình để công ty có thể tạo ra được chiếc mặt nạ này.

Hôm nay(15/11), BKAV họp báo chia sẻ về ''mặt nạ'' của hãng ''qua mặt'' FaceID

Như vậy là chỉ sau ít ngày kể từ khi tung ra đoạn clip thực nghiệm quá trình “qua mặt” được chức năng nhận diện khuôn mặt FaceID trên chiếc iPhone X bằng mặt nạ 3D, thì cuối cùng BKAV cũng đã quyết định công bố chi tiết về sự việc đang nhận được

Tấn công chiếc iPhone X theo cách này khó hay dễ?

Về cơ bản, Bkav đã tạo ra một chiếc mặt nạ mà trí tuệ nhân tạo của Apple chưa nhìn thấy bao giờ. Chiếc mặt nạ mà Bkav sử dụng là sự kết hợp giữa bản in 3D của mặt người, băng dính giấy và ảnh độ nét cao được dán lên trên.

Bkav tung thêm video chứng minh đã "đánh lừa" thành công FaceID với mặt nạ mới

Theo Bkav thì dựa vào cách thức mà họ đã công bố trong buổi họp báo thì hôm nay họ đã chế tạo ra 1 chiếc mặt nạ mới, có hình dạng 'đẹp hơn' cái mặt nạ cũ và thử đánh lừa Face ID 1 lần nữa.

Xem Live Stream sự kiện Bkav họp báo công khai về việc "qua mặt" Face ID trên iPhone X

Sự kiện nay thu hút rất đông đảo người yêu công nghệ trong nước cũng như nước ngoài.

BKAV: Face ID của Apple là tính năng thiếu bảo mật

Cụ thể, trên kênh youtube của BKAV đã đăng tải một video thử nghiệm độ an toàn của khả năng bảo mật Face ID trên iPhone X.

THỦ THUẬT HAY

Tăng cường bảo mật cho Mac OS X

Trước nguy cơ tấn công của các phần mềm độc hại đối với người dùng Mac, hãng bảo mật Kaspersky Lab đã đưa ra những lời khuyên đáng giá để tăng cường bảo vệ cho máy Mac.

8 công cụ sửa lỗi DLL để tải và cài đặt file DLL tốt nhất cho Windows

Các lỗi liên quan đến file DLL là những vấn đề quan trọng, nếu không được giải quyết, có thể dẫn đến crash hoặc đóng băng và thậm chí cả màn hình màu xanh chết chóc. Do đó, giải quyết các vấn đề file DLL là cực kỳ cần

Một vài mẹo sửa lỗi để có thể sử dụng Nox Player trên máy tính của mình

Với việc sử dụng Nox Player, bạn sẽ trải nghiệm được Android trên máy tính cá nhân với giao diện tương tự như ở trên thiết bị Android. Dựa trên nền tảng Android 4.4.2 và được tích hợp với Google Play, một điều mà nhiều

Tăng tốc sao chép file, tăng tốc copy với phần mềm Fast Copy

So với tốc độ chép file mặc định trên Windows, Fast Copy nhanh nhẹn và mạnh mẽ hơn rất nhiều với khả năng chuyển dữ liệu đến 4MB/giây. Những file có dung lượng lớn hàng GB trở nên giờ đã nhẹ nhàng hơn rất nhiều đối với

Hướng dẫn truy cập vào web bị chặn bằng trình duyệt Cốc Cốc

Chắc hẳn mọi người đều biết đến tính năng vào các website bị chặn một cách dễ dàng của trình duyệt web Cốc Cốc. Vậy cần phải làm gì trên trình duyệt Cốc Cốc để có thể vào được web bị chặn?

ĐÁNH GIÁ NHANH

Đặt lên bàn cân Sony Xperia XA2 và HTC U11 Life: Đâu là lựa chọn đáng giá?

Ra mắt trong thời điểm smartphone màn hình viền mỏng, tỉ lệ mới 18:9 đang “lên ngôi” thế nhưng cả Xperia XA2 và HTC U11 Life đều sử dụng tỉ lệ màn hình 16:9 truyền thống và khoác lên mình ngôn ngữ thiết kế riêng của

Đánh giá giao diện ZenUI trên Asus Zenfone Go và Go Plus: Nhẹ nhàng, tiện lợi và tùy biến cao.

Đánh giá giao diện người dùng trên Asus ZenFone Go, smartphone có thiết kế trẻ trung và giá bán rất vừa túi tiền với đại bộ phân người dùng Việt Nam.

Đánh giá ASRock Taichi: Bo mạch chủ nền tảng X99 giá tốt

ASRock X99 Taichi là sự kết hợp giữa thiết kế tốt, tính năng vừa phải và mức giá dễ chịu cho những người mới nhập môn dòng bo mạch X99. Đây là một lựa chọn rất đáng giá nếu ngân sách của bạn không cho phép.