Nghi vấn chưa sáng tỏ về cách BKAV "phá đảo" Face ID

Heo2k98732

New member
42f423278a0a79b80f91.jpg


Các bạn ơi, buổi demo hôm nay của BKAV chỉ là dạng "Proof of Concept" thôi nha, và chính họ cũng công nhận luôn rồi đó!

Mình đọc kỹ các bài viết về XZ1 Premium và Face ID thì thấy một điều khá sus: BKAV có khẳng định chắc nịch là chỉ cần mỗi chiếc smartphone Sony này thôi là đủ tạo mặt nạ 3D siêu chi tiết không? Vậy mà sao trong cách hack vẫn còn lòi ra bóng dáng mấy thiết bị chuyên dụng khác nhỉ?

Okay, buổi họp báo về chuyện BKAV "hack" Face ID đã kết thúc rồi. Nếu trước giờ bạn còn doubt thì giờ mình confirm luôn: BKAV thật sự qua mặt được Face ID bằng một chiếc mặt nạ chế tạo cực kỳ công phu.

de0040fb7f964ef20f6f.jpg


Tuy nhiên, sau buổi họp này, CEO Nguyễn Tử Quảng chỉ trả lời mấy câu hỏi được chuẩn bị sẵn thôi. Câu hỏi cốt lõi nhất mà mọi người tò mò vẫn chưa được giải đáp rõ ràng: BKAV tạo ra mô hình Face ID bằng cách nào? ‍♂️

Ai theo dõi họp báo chắc sẽ nghĩ ngay: Xperia XZ1 Premium chứ gì! Nhưng mà... câu trả lời này hơi chưa thuyết phục lắm á. BKAV không confirm 100% là chỉ cần mỗi XZ1 Premium thôi là đủ. Họ toàn dùng từ "có thể" suốt buổi họp báo luôn ý.

4144dc4e3c79335dd7cc.jpg


Công nghệ không nên dừng lại ở "có thể"

Hai chữ "có thể" của BKAV sinh ra rất nhiều vấn đề phát sinh đấy. Nói vầy cho dễ hiểu nè: cảm giác như BKAV đang nói kiểu "chỉ dùng xe máy có thể đi phượt hàng nghìn km". Nhưng mà sẽ có đoạn phải qua sông, phải đưa xe lên thuyền.

Có đoạn đường lầy lội xe máy không chạy được, phải nhờ xe thồ hoặc trâu bò kéo qua. Nói "chỉ dùng xe máy" vừa đúng vừa sai. Đúng là xe máy di chuyển được, sai khi bạn mổ xẻ chi tiết hành trình.

f887b45d6d067e0afbb7.jpg


Mà nhắc đến chuyện thiết bị số, thì phải đi vào chi tiết cụ thể chứ không thể mơ hồ được.

Chúng mình vẫn chưa có lời khẳng định chắc chắn rằng: liệu một thiết bị phổ thông (ai cũng ra tiệm chồng tiền mua được) như Xperia XZ1 Premium có phải là thiết bị DUY NHẤT mà BKAV dùng để tạo bản vẽ đủ chi tiết đánh lừa Face ID không?

Nếu đúng vậy thì tại sao vẫn có nhiều info nhắc đến máy quét chuyên dụng, kể cả thông tin "nhiều người sắp mua máy" mà BKAV hé lộ trên 1 diễn đàn mạng?

Ở đây, người yêu công nghệ như tụi mình cần một câu trả lời rõ ràng chứ không phải kiểu "có thể". Bản vẽ hoặc là đủ thông tin, hoặc là không. Giữa Xperia và thiết bị chuyên dụng cần phải phân định rạch ròi thôi!

1965bbb86c18e95ae3e8.jpg


Nếu đã chụp được ảnh 3D thì làm gì nạn nhân cũng được rồi?

Khi đánh giá bảo mật, phải nhớ một điều: không thiết bị nào - dù là iPhone, Bphone, smartphone Android, webcam, laptop Windows, Xbox One nối Kinect... có thể đảm bảo an toàn 100%, cho dù dùng mật khẩu, vân tay, nhận diện khuôn mặt 2D (như Android), mống mắt hay Face ID.

Khi so sánh, mỗi biện pháp bảo mật đều có điểm yếu và không thể 100% hacker-proof. Biện pháp an toàn nhất chỉ là giảm thiểu khả năng tiếp cận phương pháp hack thôi chứ không phải chặn hoàn toàn được.

2c83c430b4aece5e0b1e.jpg


Điều này đưa chúng mình trở lại câu hỏi từ đầu: một thế lực tội phạm đủ mạnh để ép bạn ngồi yên một chỗ, hoặc cử người theo dõi hay cầm XZ1 Premium "quơ quơ" trước mặt bạn, liệu có thể ép bạn dùng vân tay hay buộc bạn hé lộ passcode không?

Nhớ lại khi CCC hack cảm biến mống mắt của Galaxy S8, nhiều người cũng đã thắc mắc tương tự: bạn làm sao cầm máy hồng ngoại chụp trực diện mống mắt của "nạn nhân" để đem về in?

Nếu đã ép được nạn nhân ngồi yên, nếu đã theo dõi được nạn nhân, thì thiếu gì cách khác để lấy thông tin của người đó chứ?

Trong case của BKAV, hiển nhiên team hack có thể "dùng" khuôn mặt của vị phó giám đốc bất cứ lúc nào họ cần. Nhưng ai có thể ép bạn làm điều tương tự?

036265a45702cd8bf9fe.jpg


Chúng ta đang nói về các thế lực không phải user thông thường đâu nhé. Nói cách khác, nếu cần dùng đến máy quét chuyên dụng, các tình huống đặc thù và các khâu chế tác khó khăn để tạo mặt nạ đủ đánh lừa Face ID, thì đơn giản chỉ nói "hack được hay không hack được" là quá thiếu sót.

Vì làm gì có thứ gì không hack được: Touch ID cũng đã từng bị hack rồi, còn với Android thì chưa ai... thèm hack cả vì chỉ riêng hệ điều hành và thói quen sideload thôi cũng đã đủ lỗ hổng mà lòi!

Proof of Concept thôi mà

c1bc0c66ebbac3da556e.jpg


Về phía các bên, chính Apple cũng đã thừa nhận rất nhiều điểm chưa hoàn hảo của Face ID rồi. Nhưng từ sự không hoàn hảo của Face ID đến thông điệp của BKAV kiểu "qua mặt Face ID rất dễ dàng" và rồi đến các sự cố bảo mật diện rộng là cả một hành trình dài lắm.

Công ty bảo mật hàng đầu Việt Nam thừa nhận rằng ý tưởng của mình chỉ là "proof of concept" - tức là minh chứng cho thấy ý tưởng có thể thực hiện được thôi.

Nguồn: soha.vn
 
Back
Top