(Canhosunwahpearl.edu.vn) Trả lời Canhosunwahpearl.edu.vn, CEO của BKAV ông Nguyễn Tử Quảng cho biết, chỉ sau vài phút dùng thử, anh và đội ngũ nhân viên của mình đã phát hiện lỗ hổng trong phương thức bảo mật bằng nhận diện khuôn mặt (Face ID) ở chiếc iPhone X vừa được Apple mở phân phối.
CEO Nguyễn Tử Quảng của BKAV cho biết chỉ mất vài phút để phát hiện lỗi Face ID của iPhone X
Mất vài phút để phát hiện lỗi hổng Face ID
Mở đầu cuộc trò chuyện có Canhosunwahpearl.edu.vn, CEO Nguyễn Tử Quảng của BKAV kể lại: “Ngay từ khi Apple mở phân phối iPhone X và tài liệu tới người dùng về tính năng nhận diện khuôn mặt, cũng như việc bỏ tính năng nhận diện bằng vân tay, chúng tôi đã phát hiện ra vấn đề. Bởi bản chất của tính năng nhận diện khuôn mặt là chụp ảnh.
Trong khi đấy, khoa học đã chứng minh rằng vân tay và mống mắt là hai đặc điểm duy nhất trên cơ thể con người chứng minh quý khách là thực thể duy nhất không có người thứ hai giống quý khách trên đời, khuôn mặt không chứng minh được. Trước đấy là 1 vài cặp sinh đôi, gần đấy là anh em, chị em hay thậm chí mẹ con cũng có thể mở khóa iPhone X bằng Face ID”.
Tính năng Face ID bị qua mặt bởi 1 cặp chị em sinh đôi
Theo ông Nguyễn Tử Quảng, ngay từ khi mở phân phối, Apple cho biết họ bỏ nhận diện vân tay và sử dụng nhận diện khuôn mặt bằng trí tuệ nhân tạo (AI), ông đã cảm thấy vấn đề.
“AI thực chất chỉ là sự nhận diện, phân loại thôi. Nhà sản xuất tích hợp trong trí tuệ nhân tạo (AI) rất nhiều dữ liệu. Từ đấy, AI sẽ phân loại các dữ liệu nhận được theo từng nhóm khác nhau. Ở đấy, nhà sản xuất đưa vào các hình ảnh khuôn mặt của hàng tỷ người và 1 vài loại mặt nạ do Hollywood sản xuất thì AI chỉ phân biệt được các gì chúng có thôi.
Trường hợp nếu sử dụng 1 khuôn mặt nửa mặt người, nửa mặt nạ thì sẽ thế nào? Chắc chắn là còn khiếm khuyết.
Vậy nên, khi Apple chính thức mở phân phối iPhone X, chúng tôi đã tìm mua 1 chiếc về để thử tính năng Face ID. Và chỉ sau vài phút dùng thử, chúng tôi khẳng định đánh giá của mình là đúng. Sau đấy, mất thêm vài ngày để nghiên cứu kỹ và khẳng định chính thức” – CEO Nguyễn Tử Quảng nói.
Ông Quảng cho rằng, khi người ta chụp lại hàng trăm nghìn bức ảnh khác nhau, trí tuệ nhân tạo (AI) sẽ tìm và phân loại, xếp nhóm các thứ mà nhìn trên bề mặt có vẻ giống nhau. Với AI, dữ liệu càng đầy đủ, việc đánh giá, nhận diện càng chính xác.
Với Face ID của iPhone X, nhà sản xuất sẽ tích hợp toàn bộ dữ liệu về khuôn mặt trên Internet vào trí tuệ nhân tạo (AI), và cả các chiếc mặt nạ nữa. Từ đấy, AI sẽ tự phân nhóm đâu là người châu Âu, châu Á, châu Phi hay da trắng, da màu. Có 1 nhóm khác, nhà sản xuất cũng sẽ giúp AI nhận diện là nhóm mặt nạ.
Sau khi người dùng nhận diện Face ID bằng mặt thật, rồi sử dụng mặt nạ để che đi khuôn mặt thật, Face ID sẽ nhận diện đấy là mặt nạ. Loại mặt nạ Apple sử dụng do Hollywood làm là mặt nạ silicone nên Face ID chỉ có thể phân biệt được 1 số loại mặt nạ.
Chiếc mặt nạ giúp BKAV phát hiện lỗ hổng Face ID của iPhone X
Ông Quảng đặt câu hỏi: “Còn các loại mặt nạ khác, không do Hollywood làm như mặt nạ dưỡng da cho phụ nữ thì Face ID sẽ phản ứng như thế nào?”
Rồi ông Quảng tiếp tục trả lời: “Tôi từng thử quấn băng dính quanh mặt anh Tuấn Anh – 1 nhân viên của tôi, quả nhiên Face ID của iPhone X vẫn hưởng ứng. Rõ ràng Apple muốn tạo ra 1 sản phẩm có tính an toàn, bảo mật cao nhờ Face ID nhưng sản phẩm này lại quá tiện lợi. Thực tế, tiện lợi và an ninh là hai nhân tố chưa bao giờ song hành cộng nhau.
Chúng tôi đã tạo ra 1 khuôn mặt giả bằng hai mắt được dán ảnh 2D, mồm là ảnh chụp thật, mũi làm bằng silicon được chế tác gần giống thật nhất. Phần má dùng băng dính giấy dán lên, AI không cảm thấy đấy là mặt nạ nữa. Dựa vào triết lý thật giả đan xen, chúng tôi đã phát hiện lỗ hổng Face ID của Apple.
AI dù thế nào cũng vẫn là do con người tạo ra và nó chỉ ở mức độ làm tốt nhất theo bí kíp của người dạy nó, tạo ra nó, ở đấy là Apple. Vậy nếu quý khách có bí kíp nhiều hơn thì quý khách có thể vượt qua nó.
Apple sử dụng trí tuệ nhân tạo AI nhưng lại không đủ tập dữ liệu để có thể mô phỏng hết các tình huống xảy ra trong đời thực. AI của Apple có thể phân biệt 1 khuôn mặt thật hoặc 1 khuôn mặt giả dụng khi làm 1 khuôn mặt nửa thật, nửa giả thì Face ID đã bị mắc lừa”.
“Nếu là tiểu xảo, sao bao nhiêu người không làm được?”
Trước các ý kiến dư luận cho rằng màn bóc mẽ công nghệ Face ID của Iphone X thực ra chỉ là 1 màn “tiểu xảo”, CEO Nguyễn Tử Quảng tự tin khẳng định: “Bất kì điều gì chúng tôi làm đều gây tranh cãi bởi các gì chúng tôi làm đều ở tầm địa cầu, là đặc thù ở Việt Nam nên nhiều người thấy rất khó tin. Vậy nên, bất kể điều gì tôi làm hay nói cũng đều có ý kiến tranh luận gay gắt.
Khi Apple mở phân phối iPhone X, nhiều người nghĩ rằng đấy là 1 sản phẩm rất khó vượt qua nhưng chúng tôi nghĩ khác. Chúng tôi nhìn thấy thời cơ để vươn lên.
Nếu nói là tiểu xảo, tại sao 1 vài công ty an ninh mạng, 1 vài hãng công nghệ chẳng thể làm được 1 chiếc mặt nạ bởi thế? Thậm chí họ còn nhờ cả hacker từng vượt qua bảo mật vân tay của Apple nhưng cuối cộng họ vẫn chẳng thể vượt qua? Chúng tôi vượt qua được Face ID nhờ sự hiểu biết cực kì chất, không ra bản chất thì không tận gốc vấn đề”.
Ông Quảng cho rằng Apple cực kì mạo hiểm khi sử dụng AI trong bảo mật
Ông Quảng cho rằng Apple cực kì mạo hiểm khi sử dụng AI trong bảo mật, AI nên dùng cho các sản phẩm đề nghị sự thuận tiện nhiều hơn. Sản phẩm của Apple luôn có sức quyến rũ lớn, 1 sản phẩm tung ra có thể lôi kéo hàng trăm triệu người dùng ngay lập tức. Song nhiệm vụ của người làm an ninh là cảnh báo các vấn đề nếu nhìn thấy nó. Riêng phần nhận diện khuôn mặt, BKAV đã làm từ 10 năm trước.
Ông Quảng kết thúc câu chuyện: “Nếu nói tôi không có ý định khiến cho thương hiệu của BKAV, Việt Nam tốt lên là nói dối. Đây chính là thời cơ để BKAV biểu hiện năng lực của mình. Chúng tôi không làm sẽ có người khác làm. Chúng tôi chỉ chỉ ra các điểm chưa tốt để cả xã hội cộng tiến lên. Nếu không, hacker sẽ lợi dụng nó để làm việc xấu”.
Sự kiện hãng bảo mật Bkav tuyên bố phá vỡ được hàng rào an ninh sinh trắc học trên iPhone X lôi kéo sự quan tâm của không chỉ báo giới trong nước mà còn trở thành vấn đề nóng bỏng trên mặt báo quốc tế. Khi được Reuters và Forbes phone về việc này, Apple từ chối bình luận cả hai hãng thông tấn và chỉ gửi lại website giải đáp làm việc của Face ID. Trang web của Apple giải đáp khả năng 1 người ngẫu nhiên mở khóa được phone của người khác bằng gương mặt của mình là xấp xỉ 1/1.000.000, so có 1 trong 50.000 của máy quét vân tay. Ngoài ra, Face ID sẽ đòi mật khẩu nếu 5 lần thử mở khóa bằng gương mặt thất bại. Truyền thông nước ngoài tỏ ra hoài nghi trước các mở phân phối của Bkav. Phó Chủ tịch Bkav Ngô Tuấn Anh đã trình diễn thao tác mở khóa iPhone X bằng gương mặt và mặt nạ cho Reuters nhưng ông từ chối đăng ký ID và mặt nạ trên thiết bị khác vì cho biết iPhone và mặt nạ cần được đặt ở 1 vài góc cụ tỉ, quy trình có thể mất dao động 9 tiếng. Theo ông Ngô Tuấn Anh, dự trù được mặt nạ không phải chuyện thuận tiện và việc trình diễn cho thấy chính xác nhận diện gương mặt cũng rủi ro có 1 số người. “Không dễ để người thông thường làm điều mà chúng tôi đang làm ở đấy nhưng nó là mối lo ngại cho các người trong lĩnh vực bảo mật và các yếu nhân như chính trị gia hay người đứng đầu công ty. Họ không nên cho bất kỳ người nào mượn iPhone X nếu đã kích hoạt Face ID”. Trong khi đấy, blog TechCrunch lại viết rằng Bkav vẫn chưa trả lời 1 vài câu hỏi của mình, bao gồm tại sao tập đoàn chưa chia sẻ nghiên cứu kỹ có Apple giả dụ 1 vài nỗ lực hack iPhone X là chính đáng. TechCrunch cũng hoài nghi video qua mặt Face ID bằng mặt nạ có thể bị làm giả bằng vài 1 vàih, dễ nhất là “dạy” Face ID về chiếc mặt nạ trước khi ra mắt nó có gương mặt thật sự. Blog không rõ Bkav đã thử nghiệm bao nhiêu lần dù công ty khẳng định “không dùng passcode” khi tạo ra mặt nạ. Nếu 1 vài chuyên gia nhập passcode sau 5 lần mở khóa thất bại, thiết bị có thể “học” thêm dữ liệu mới, bao gồm cả dữ liệu về chiếc mặt nạ kia. Tạp chí Forbes “cần nhiều tài liệu hơn” vì cho rằng “còn 1 vài sơ hở trong nghiên cứu kỹ”. Những lý lẽ mà Forbes đưa ra khá giống có TechCrunch. Còn theo Wired, Bkav không hồi đáp đa số trong danh sách dài 1 vài câu hỏi gửi đến. Băn khoăn lớn nhất của Wired là chính xác chiếc phone được đăng ký và đào tạo thế nào đối có gương mặt thật của chủ sở hửu thiết bị. Wired dẫn ý kiến của chuyên gia bảo mật Marc Rogers: “Nhân viên Bkav có lẽ đã làm “suy yếu” mô hình số trên phone bằng 1 vàih dạy nó về gương mặt chủ sở hửu trong khi 1 số chi tiết bị che khuất, về căn bản là dạy phone nhận diện 1 gương mặt giống có mặt nạ thay vì tạo ra chiếc mặt nạ có vẻ ngoài thật sự giống gương mặt chủ sở hửu”. Ông Rogers đang làm việc cho hãng bảo mật Cloudflare, là 1 trong các người Thứ nhất phá vỡ được máy quét vân tay Touch ID của Apple năm 2013. (Theo ICT News) |
Tìm hiểu thêm tài liệu dự án canhosunwahpearl.edu.vn