Loading the content... Loading depends on your connection speed!

Chuyên gia bảo mật và là một hacker hàng đầu thế giới nói gì về vụ bẻ khóa Face ID của BKAV

Chuyên gia bảo mật và là một hacker hàng đầu thế giới nói gì về vụ bẻ khóa Face ID của BKAV


Category: .
Description

Product Description

Gần đây BKAV tuyên bố đã bẻ khóa thành công chức năng mở khóa bằng khuôn mặt trên Iphone X. Hãy xem Marc Rogers một tay hacker hàng đầu thế giới nói gì về vụ này.

 

Face ID – một công nghệ bảo mật thiết bị bằng khuôn mặt trên chiếc iPhone X mới nhất hiện nay đang trở thành tâm điểm chú ý của nhiều nơi, nhất là sau khi công ty bảo mật BKAV của chúng ta tuyên bố đã bẻ khóa thành công và Nguyễn Tử Quảng cho rằng công nghệ Face ID chỉ là “tuổi tôm”. Hơn nữa các công cụ dùng để bẻ khóa cũng khá thô sơ đó là, bằng một cái mặt nạ được in 3D, một mũi giả được làm chi tiết và một con mắt được in 2DThử nghiệm này của BKAV dường như đã phá bỏ mọi định luật cũng như những lời tuyên bố hùng hồn mà Apple quảng cáo về thiết bị của mình.

 

Thiết bị BKAV dùng để bẻ khóa Face ID trên iphone X

Những thiết bị BKAV dùng bẻ khóa Face ID của Iphone X

 

Nhưng thực hư ra sao? Và đây là ý kiến của chuyên gia an ninh mạng Marc Rogers, Trưởng ban Bảo mật Thông tin của Cloudfare, Trưởng ban An ninh của hội nghị hacker lớn nhất thế giới “DEF CON”, là một hacker lão làng từ những năm 1980 và đã là “hành nghề” được 30 năm.

 

Ông cho rằng BKAV đã “làm suy yếu” Neural Engine – hệ thống tiếp nhận dữ liệu bên trong iPhone X, bằng cách cấu hình lại nó, về cơ bản là đầu độc cả hệ thống, tạo ra một cửa hậu – backdoor để mà khai thác.

 

Ông nhận định đây chẳng phải là một màn đột nhập, một màn “hack” Face ID thực thụ, mà chỉ là phần nào bẻ khóa được thiết bị thông qua việc đã biết trước được mật mã mà thôi.

 

Ông vẫn thừa nhận cách thức này khá là khéo léo, đặt ra một số câu hỏi, thắc mắc lớn nhất dành cho Apple là tại sao con mắt in 2D lại có thể qua mặt được Face ID. Apple hẳn phải có những biện pháp chống lại một con mắt giả chứ?

 

Con mắt giả được BKAV sử dụng

 

Trước hết, đây là những gì ta biết về Face ID

Nó sử dụng một camera chiếu tia hồng ngoại, phóng 30.000 điểm lên bề mặt mặt bạn để tạo hình. Thông qua những thông số thu được, hệ thống sẽ tạo ra một khuôn mặt 3D, đưa thông tin ấy vào trong “Neural Engine”. Hệ thống machine learning này sẽ sử dụng khuôn mặt của người dùng để tự huấn luyện mình, càng ngày nó sẽ càng tốt hơn.

 

Face ID không cần toàn bộ khuôn mặt người dùng để mở khóa. Trên mặt sẽ có những bộ phận trọng yếu bắt buộc phải có, một số điểm không cần có cũng chẳng sao. Theo lời Rogers, thì bộ phận quan trọng nhất là tam giác được tạo nên bởi 2 mắt và mũi.

 

 

Ngẫm ra thì ta sẽ thấy sự hợp lý: đây sẽ là ba điểm gần như luôn cố định trên mặt chúng ta, trong khi đó tóc, tai, môi, cằm, râu ria, đều có thể được thay đổi bằng cả yếu tố chủ quan và khách quan. Đây là điểm thuận tiện với Apple, nhưng lại biến thành một điểm có thể lợi dụng: những người muốn phá khóa thiết bị chỉ cần tạo chính xác khu vực tam giác kể trên thôi. Dễ hơn nhiều với việc tái tạo lại toàn bộ khuôn mặt.

 

Hoàn toàn có thể mở khóa điện thoại bằng việc giơ máy lên cao, cho người ta nhìn lướt nhanh qua một cái – Lại một điểm cộng cho sự tiện lợi, nhưng lại là điểm trừ cho khía cạnh bảo mật. Nếu như có kẻ móc túi nào đó “nhảy” được điện thoại của bạn, họ chỉ cần gọi khéo để bạn quay mặt ra, thế là họ có được chìa khóa để mở máy rồi.

 

Và cũng như cách tiếp cận của BKAV, kẻ xấu cũng có thể đầu độc hệ thống Neural Engine. Lại một lần nữa, Rogers nói rằng BKAV đã khéo léo làm được chiêu trò này. Mà có lẽ, đây cũng là lý do tại sao gần đây, lại có những trường hợp người nhà thân thiết cũng có thể mở được máy – một phương pháp đầu độc Neural Engine tương tự.

 

Cấu trúc khuôn mặt giữa hai người đã có những điểm tương đồng (hai anh em và hai mẹ con), vì thế chẳng cần quá nhiều mất quá nhiều công để nhồi nhét vào Neural Engine những đặc điểm nhận dạng của người thứ hai, làm yếu đi lớp bảo mật của Face ID.

 

Trong bài thử nghiệm của Marc Rogers với Wired, ông nhận thẩy rõ ràng rằng cách thức bề mặt vật liệu đón nhận tia hồng ngoại cực kì quan trọng với việc thiết bị có mở khóa hay không. Nếu như bề mặt ấy không phản ứng giống với da người, thì nó sẽ không thể trở thành một chìa khóa khả dụng để mở thiết bị.

 

Chính điều này cũng đã có thể giúp cho thử nghiệm của BKAV thành công. Những phần bộ phận mặt có lẽ đã không được thiết bị nhận dạng, nhưng vị trí của chúng trên khuôn mặt được in 3D, chiều sâu chính xác như thật của cái mũi, toàn bộ được giơ cao đúng vị trí nhờ một cái giá, đã khiến thử nghiệm thành công.

 

Chiếc mũi giả được BKAV làm khá công phu

 Bộ khung mà BKAV đã sử dụng.

Bộ khung mà BKAV đã sử dụng

Kết luận

Bản thân là một hacker “lão làng”, ông Marc Rogers tin rằng bất cứ thứ gì do con người tạo ra, thì con người cũng có thể bẻ khóa nó. Người ta tạo ra được một cách đánh lừa hệ thống nhận dạng khuôn mặt, người khác sẽ làm cho hệ thống đó tốt hơn, và cứ thế vòng lặp diễn ra. Câu hỏi duy nhất ta nên đặt ra là, liệu phương pháp ấy có ĐỦ bảo mật không.

 

Và những cách thức bẻ khóa (như của BKAV sử dụng) cũng chẳng thiết thực lắm. Ai sẽ chịu ngồi yên chục phút để người khác ghi lại từng chi tiết của mặt mình, nhằm làm giả nó? Đây có lẽ chỉ là mối lo với những người quyền cao chức trọng thôi, những người dùng bình thường chẳng có gì mà lo lắng.

 

 Marc Rogers.

Hacker hàng đầu thế giới Marc Rogers

Kết luận lại, Marc Rogers đưa ra bốn thứ làm ông vướng mắc và lo lắng

 

  • Có lẽ là quá dễ để một người lấy được điện thoại của bạn, và sử dụng chính mặt bạn để mở khóa.
  • Thiết bị đã không thể phân biện được mắt thật và mắt giả.
  • Cần bao nhiêu “lượng mặt” để mở khóa được thiết bị?
  • Neural Engine không hoàn hảo, nó có thể bị đầu độc để tạo ra một khe hở bảo mật.

 

Tất nhiên Apple đã và đang nghiên cứu để cải thiện hệ thống Face ID của mình rồi. Họ sẽ khắc phục chính những yếu điểm lộ ra sau thử nghiệm trên, khi biết rõ người ta đã sử dụng những gì để đánh bại hệ thống bảo mật đầy tự hào của mình.

Reviews (0)

Reviews

There are no reviews yet, would you like to submit yours?

Be the first to review “Chuyên gia bảo mật và là một hacker hàng đầu thế giới nói gì về vụ bẻ khóa Face ID của BKAV”

*