Bình Lê - Theo Trí Thức Trẻ | 19:17 14/11/2017

Câu hỏi lớn nhất trước giờ G: BKAV làm thế nào để có khuôn 3D của "nạn nhân"?

Câu hỏi lớn nhất trước giờ G: BKAV làm thế nào để có khuôn 3D của

Đây là một yếu tố quan trọng để có thể vượt qua được hệ thống bảo mật Face ID của iPhone X, nhưng chưa được BKAV công bố chi tiết.

Như vậy là Face ID đã bị hack, không bởi ai khác mà chính là BKAV, công ty bảo mật hàng đầu Việt Nam. Trong cơn bão thông tin hiện tại, chúng tôi cũng không quá nghi ngờ về việc BKAV có thực sự "hack" (hay nói chính xác hơn là "qua mặt") được Face ID hay không.

BKAV chứng minh FaceID trên iPhone X vô dụng

Là một tập đoàn công nghệ lớn về bảo mật và cũng có kinh doanh smartphone, BKAV đã không ngần ngại sử dụng cơ hội này để quảng bá về khả năng của mình. Trong các tuyên bố và các bài phỏng vấn đến thời điểm hiện tại, BKAV có vẻ luôn nhấn mạnh đến 2 điểm: 1, công nghệ Face ID của Apple chưa hoàn thiện và 2, bảo mật vân tay và mật khẩu truyền thống an toàn hơn "nhận diện khuôn mặt". Dĩ nhiên, Bphone 2017 hỗ trợ cả bảo mật vân tay và mật khẩu truyền thống.

2 điểm này chắc chắn sẽ gây tranh cãi. Khi ra mắt Face ID, Apple đã nhấn mạnh đến khả năng nhận sai của Face ID thấp hơn hẳn Touch ID. Nếu chỉ tính riêng đến cảm biến vân tay, chưa có một công ty nào khác ngoài Apple dám công bố chỉ số FAR (nhận diện sai khi không đúng người) như Apple đã làm với Touch ID cả. Ngay cả BPhone cũng vậy. Và nếu BPhone thực sự đưa ra con số, chưa rõ ai sẽ là người kiểm chứng mức độ "transparency" (tạm dịch: minh bạch) của BKAV.

Tiếp đến, BKAV có thể dành mọi lời chê Face ID, nhưng sự thật là không một công nghệ bảo mật nào có thể coi là hoàn thiện. Mật khẩu truyền thống cũng có rất nhiều điểm yếu, trong đó tình huống ai cũng có thể nghĩ đến là bạn không biết có ai đang theo dõi quá trình nhập mật khẩu của bạn hay không. Passcode (mật khẩu dãy số) hay pattern (kéo chuỗi) cũng vậy: kẻ cướp đứng đằng sau lưng bạn, theo dõi quá trình đăng nhập của bạn rồi giật điện thoại của bạn là có thể truy cập vào mọi thông tin nhạy cảm của bạn. Các loại hình bảo mật sinh trắc học không có những điểm yếu này. Nhưng chúng cũng không phải là an toàn tuyệt đối: tỷ lệ FAR không ngang với... dân số thế giới, và bằng cách này hay cách khác vẫn có thể qua mặt được.

Vậy, đâu là điểm khác biệt giữa cảm biến vân tay và nhận diện khuôn mặt?

Câu trả lời nằm ở các bước trong quá trình tạo ra vân tay giả hoặc khuôn mặt giả để nhận diện, cũng là câu hỏi lớn nhất chúng tôi muốn đặt ra tới BKAV: làm thế nào để có được chiếc mặt nạ làm giả? Cần lưu ý rằng, tập đoàn bảo mật của Việt Nam mới chỉ nhắc đến mặt nạ in 3D rất dễ dàng, da giả có thể làm được... nói chung tất cả các bước đều nằm trong tầm với của người bình thường. Nhưng BKAV chưa nói đến việc làm thế nào để có bản vẽ/mô hình 3D dùng làm mẫu cho mặt nạ giả!

Cần nhớ lại rằng, khi cảm biến mống mắt của Galaxy S8 bị hack, Samsung đã đưa ra phản hồi rằng một người bình thường sẽ khó kiếm được máy ảnh hồng ngoại dùng cho việc hack. Tuyên bố này có nghĩa rằng Samsung gián tiếp thừa nhận Galaxy S8 có thể bị hack theo cách được CCC (Đức) công bố, nhưng đồng thời xác nhận một điểm quan trọng: mức độ khó/dễ của toàn bộ chu trình hack điện thoại nằm ở mức độ khó/dễ của bước KHÓ nhất. Với Samsung, là bước tìm được máy ảnh hồng ngoại.

Với công nghệ nhận diện khuôn mặt nói chung, BKAV đã không quên nhắc người hâm mộ Việt Nam rằng BKAV đã cảnh báo về "nhận diện khuôn mặt" từ nhiều năm trước. Thế nhưng, cần nhắc lại một lần nữa là công nghệ "nhận diện khuôn mặt" bằng hình ảnh 3D vốn có mặt trên nhiều mẫu smartphone Android hay trên Windows rất khác với Face ID của Apple. Như chúng tôi đã nhiều lần đưa tin, Face ID chỉ có công nghệ ngang hàng duy nhất là Intel RealSense kết hợp với Windows Hello.

Với công nghệ nhận diện khuôn mặt truyền thống, những gì "hacker" cần làm chỉ là tìm một bức ảnh 2D của "nạn nhân", vốn là một tác vụ quá dễ dàng trong thời đại Facebook. Với Face ID, khả năng hack quy tụ lại về một vấn đề khác hẳn: hacker làm thế nào để có được bản vẽ/mô hình 3D để in, để nghệ nhân bắt chước, để tạo mũi như trong thử nghiệm của BKAV?

Đó sẽ là câu hỏi duy nhất mà tôi trông chờ từ BKAV trong ngày mai. Nếu công ty của CEO Nguyễn Tử Quảng đưa ra một biện pháp mà các loại tội phạm nhắm vào "các tỷ phú, các lãnh đạo của các tập đoàn lớn, các chính khách và các tổ chức như FBI" mới làm được, thì chưa chắc Face ID đã kém an toàn hơn Touch ID. Một thế lực có thể bỏ công bỏ sức để "quét" được mô hình 3D của khuôn mặt không có lý do gì lại không làm giả được vân tay qua mặt được Touch ID (và dĩ nhiên là cả cảm biến của BPhone), nhưng Touch ID thì không thể có FAR thấp như Face ID.

Hãy chờ xem.