BKAV phỏng vấn với Arstechnica: Vì sao chúng tôi hack được Face ID iPhone X bằng mặt nạ 150 USD?

CunKute

New member
82d0abb65e10d2a56b38.jpg


Ôi chao chao, cộng đồng tech toàn cầu đang dậy sóng với màn "bóc phốt" Face ID của BKAV đây này!

Vụ BKAV "đánh bay" Face ID trên iPhone X chỉ với một chiếc mặt nạ giá 150 USD đã khiến cả làng tech thế giới phải bàn tán rần rần. Các chuyên gia bảo mật khắp nơi đang dán mắt vào drama này và liên tục "hỏi thăm" BKAV để hiểu rõ hơn về chiêu thức bí ẩn này.

Trang WIRED cũng đã lên tiếng, với biên tập viên công nghệ Andy Greenberg chia sẻ những suy nghĩ của mình - đáng chú ý là trước đó họ cũng từng thử vượt mặt Face ID bằng những chiếc mặt nạ giá hàng nghìn đô nhưng... fail nhé!

62b684e927552667448b.jpg


Sau đó, Arstechnica - một trang công nghệ khá "nặng ký" - đã có buổi phỏng vấn online trực tiếp với đại diện BKAV để đào sâu hơn về phương pháp hack Face ID bằng mặt nạ in 3D này. Và đây là những gì diễn ra:

**Ars:** BKAV có thể dùng mặt nạ để mở khóa Face ID ngay sau khi iPhone X vừa ghi lại khuôn mặt được không? Vì theo Apple nói thì Face ID có khả năng tự học và thích nghi với những thay đổi trên khuôn mặt người dùng theo thời gian mà. Nghĩa là càng để lâu thì Face ID có thể nhận diện cả khuôn mặt hơi khác so với lúc đầu. Các anh có thể kể chi tiết từng bước thí nghiệm không?

**BKAV:** Việc Face ID tự học thêm những hình ảnh mặt mới không phải vấn đề quá quan trọng đâu, vì nó không làm thay đổi sự thật là Face ID của Apple chưa phải biện pháp bảo mật đủ mạnh. Tuy nhiên chúng tôi cũng hiểu cơ chế học tập của Face ID, nên để có kết quả thuyết phục hơn, chúng tôi đã áp dụng quy tắc nghiêm ngặt là không dùng mật khẩu passcode luôn.

**Ars:** Sao phương pháp của các anh lại work mà mấy chiếc mặt nạ của WIRED lại toang vậy?

**BKAV:** Vì chúng tôi là công ty bảo mật và an ninh mạng hàng đầu mà! Thật ra khó lắm để tạo ra những chiếc mặt nạ mà không có kiến thức về bảo mật. Chúng tôi có thể đánh lừa hệ thống AI của Apple vì chúng tôi hiểu rõ cách nó hoạt động.

Hồi năm 2008, chúng tôi là những người đầu tiên chứng minh rằng bảo mật bằng khuôn mặt không phải công nghệ bảo mật hiệu quả cho laptop đâu nhé.

**Ars:** Kích thước khuôn mặt có quan trọng không? Làm sao tạo được mặt nạ nếu người đó không ngồi trước mặt để đo đạc và ghi lại?

**BKAV:** Đầu tiên, mọi thứ dễ hơn mọi người nghĩ nhiều đó! Ae thử với iPhone X xem, chiếc điện thoại này vẫn nhận ra bạn ngay cả khi che mất nửa mặt luôn.

Điều đó có nghĩa là cơ chế nhận diện không nghiêm ngặt như các bạn tưởng. Chúng tôi chỉ cần một nửa khuôn mặt để tạo ra chiếc mặt nạ thôi, đơn giản hơn bạn nghĩ á!

Apple làm chưa tốt lắm. Chúng tôi từng đọc báo cáo của Mashable về việc Apple sẽ tung Face ID vào năm 2018, nhưng cuối cùng nó ra sớm hơn cả năm. Điều đó cho thấy Apple chưa thực sự ready, chưa nghiên cứu kỹ để thay thế Touch ID bằng Face ID.

Thứ hai, trong an ninh mạng chúng tôi gọi đây là Proof of Concept - nghĩa là một phát hiện có ích cho cả hacker lẫn người dùng. Các hacker có thể lợi dụng phát hiện này để tìm ra những chiêu tấn công mới. Trong khi đó, người dùng cũng có hiểu biết để tự bảo vệ mình.

Nó giống như lỗ hổng bảo mật KRACK vậy - mối đe dọa là có thật nhưng không dễ khai thác. Có thể phương pháp này khó áp dụng với người bình thường, nhưng các chính trị gia, tỷ phú, FBI hay CIA cần phải biết, vì thiết bị của họ có thể bị mở khóa bất hợp pháp đấy!

**Ars:** Chi phí ước tính của chiếc mặt nạ là bao nhiêu?

**BKAV:** Khoảng 150 USD thôi.

**Ars:** Mất bao lâu để tạo ra chiếc mặt nạ, bao gồm cả mô hình 3D và các chi tiết khác?

**BKAV:** Chúng tôi bắt đầu thử nghiệm ngay khi nhận được chiếc iPhone X vào ngày 5 tháng 11.

**Ars:** Công nghệ và kỹ thuật nào đã được sử dụng để tạo ra chiếc mặt nạ in 3D với các thành phần trên đó?

**BKAV:** Chúng tôi sử dụng một máy in 3D khá phổ biến. Chiếc mũi silicon được làm thủ công bởi một nghệ nhân. Các bộ phận khác sử dụng ảnh chụp 2D, tương tự cách chúng tôi đánh lừa bảo mật khuôn mặt 9 năm trước. Một phần da cũng được làm bằng tay.

Các tranh luận vẫn đang tiếp diễn nóng hổi! Một số chuyên gia bảo mật cho rằng có thể có một số thủ thuật được sử dụng ở đây để đánh lừa Face ID. Trong khi đó Arstechnica vẫn đang tiếp tục gửi các câu hỏi qua email cho BKAV để làm rõ thêm những chi tiết nhé!

Nguồn: soha.vn
 
Back
Top