Khi ra mắt iPhone X, Apple cho biết hãng đã làm việc với các chuyên gia hóa trang của Hollywood để giúp công nghệ bảo mật Face ID ứng dụng trên thiết bị có khả năng phân biệt được các mặt nạ và không cho phép unlock điện thoại.
Apple tuyên bố so với Touch ID, Face ID bảo mật hơn. Tuy nhiên hôm 10/11, video clip do các chuyên gia Bkav của Việt Nam thực hiện đã cho thấy một chiếc mặt nạ 3D có thể dễ dàng vượt qua được cơ chế bảo mật của Face ID.
Sự kiện lập tức thu hút sự quan tâm đặc biệt của cộng đồng và báo chí quốc tế. Khi mà, đã có rất nhiều cá nhân, tổ chức ở khắp nơi trên thế giới cố gắng thử nghiệm bằng các kiểu mặt nạ tốn kém hàng nghìn USD nhưng đều không thành công. Nhiều thắc mắc, thậm chí hoài nghi được đặt ra cho các chuyên gia của Bkav.
Trước câu hỏi Bkav có thể giải thích tại sao việc hack của Bkav thành công trong khi những nỗ lực tương tự khác (như của Tạp chí Wired) lại thất bại? Người đại diện của Bkav, ông Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết, việc tạo ra được chiếc mặt nạ “chính xác” mà không có kiến thức về an ninh mạng khá là khó. Chúng tôi có thể lừa được AI của Apple, bởi chúng tôi hiểu cách AI của họ hoạt động và làm thế nào để vượt qua được nó.
Như năm 2008, chúng tôi là công ty đầu tiên chứng minh rằng nhận dạng khuôn mặt không phải là một biện pháp an ninh hiệu quả cho máy tính xách tay. Nhiều người trên thế giới đã thử các loại mặt nạ khác nhau nhưng tất cả đều thất bại. Nhưng chúng tôi làm được là vì chúng tôi hiểu AI hoạt động như thế nào và làm thế nào để qua mặt nó.
Để làm mặt nạ, chúng tôi chỉ mất 5 ngày để thực hiện. Thứ nhất, mọi việc diễn ra dễ dàng hơn bạn nghĩ. Bạn có thể thử nó với chiếc iPhone X của mình, điện thoại sẽ nhận ra bạn ngay cả khi bạn che một nửa khuôn mặt. Điều đó có nghĩa là cơ chế nhận dạng không nghiêm ngặt như bạn nghĩ, Apple dường như đã phụ thuộc quá nhiều vào AI của Face ID. Chúng tôi chỉ cần một nửa khuôn mặt để tạo mặt nạ. Nó thậm chí còn đơn giản hơn chúng tôi đã nghĩ.
Thứ hai, trong an ninh mạng, chúng tôi gọi nó là Chứng minh Nguyên lý (Proof of Concept), vốn hữu ích cho cả hai bên, tin tặc và người dùng. Hacker, họ có thể tìm ra một cách đơn giản để khai thác thiết bị của người dùng dựa trên PoC đó. Trong khi với người dùng, nếu họ biết về khả năng này, họ sẽ không sử dụng tính năng đó nữa để bảo vệ mình an toàn.
Giống như cuộc tấn công KRACK, không dễ dàng để khai thác thành công nhưng người dùng được yêu cầu phải cập nhật bản vá càng sớm càng tốt, bởi vì các mối đe dọa là có thật. Với việc Face ID bị đánh bại bởi mặt nạ của chúng tôi, FBI, CIA, các nhà lãnh đạo quốc gia, lãnh đạo các tập đoàn lớn, vv. là những đối tượng cần biết, bởi vì các thiết bị của họ “xứng đáng” với những nỗ lực mở khóa bất hợp pháp. Việc khai thác là khó khăn cho người sử dụng bình thường, nhưng lại đơn giản cho những người chuyên nghiệp.
Về công nghệ và kỹ thuật được sử dụng để tạo ra khuôn 3D cho những phần được tạo từ in 3D của chiếc mặt nạ, chúng tôi đã sử dụng một chiếc máy in 3D phổ biến. Mũi được làm bởi một nghệ nhân làm thủ công. Chúng tôi sử dụng bản in 2D cho các bộ phận khác (tương tự như cách chúng tôi lừa Face Recognition 9 năm trước). Da cũng được làm bằng tay để lừa AI của Apple. Chi phí ước tính của chiếc mặt nạ khoảng 150 USD (tương đương khoảng 3.500.000 đồng)
Trước câu hỏi, ai sẽ trở thành mục tiêu cho cuộc tấn công kiểu này? Đại diện Bkav cho biết, mục tiêu tiềm năng sẽ không phải là những người dùng thông thường, tuy nhiên, các tỷ phú, các lãnh đạo của các tập đoàn lớn, các chính khách và các tổ chức như FBI cần phải hiểu vấn đề của Face ID. Các đối thủ cạnh tranh của các đơn vị an ninh, các đối thủ thương mại của các tập đoàn và thậm chí cả các quốc gia có thể có lợi từ PoC của chúng tôi.
Đây là công việc thuộc lĩnh vực an ninh mạng của chúng tôi. Như bạn đã biết từ những câu trả lời ở trên, từ năm 2008 khi Bkav chưa phát triển Bphone (Bkav.com/Bphone), chúng tôi là công ty đầu tiên trên thế giới chứng minh rằng nhận dạng khuôn mặt không phải là một biện pháp an ninh hiệu quả cho máy tính xách tay, ngay sau khi Toshiba, Lenovo, Asus, v.v. sử dụng công nghệ này cho các sản phẩm của họ (link bài viết liên quan ở cuối của bài viết này). Đối với an ninh sinh trắc học, vân tay là tốt nhất.