BKAV 'hack' được iPhone X bằng mặt nạ 3D, nên hiểu thế nào?

BKAV ngày 15/11 tổ chức họp báo mang tên “Mặt nạ có thể mở khóa Face ID iPhone X”. Với dòng chữ trên, BKAV đã thành công, chứng minh được Apple đã không chính xác khi tuyên bố Face ID trên iPhone X chỉ nhận diện mặt người và không nhận diện mặt nạ. Đây là thành tích đáng ghi nhận của công ty bảo mật Việt Nam.

Tuy nhiên, việc chứng minh iPhone X có thể mở khóa bằng mặt nạ mới chỉ là khởi đầu về câu chuyện Face ID trên iPhone X, bởi người ta vẫn khó có thể biết được iPhone X liệu có còn an toàn hay không, khi nó có thể được mở khóa bằng một tấm mặt nạ thô sơ của BKAV.

BKAV không hack được iPhone X

Có thể khẳng định, việc làm của BKAV không phải là hack được iPhone X. Nếu đưa cho BKAV một chiếc iPhone X bị khóa, không passcode, không có sự xuất hiện của người đặt Face ID, thì BKAV không thể làm gì hơn ngoài việc sử dụng chiếc iPhone X đó làm vật chặn giấy.

Cách làm của BKAV giống như việc tên trộm bấm chuông, mượn chủ nhà chìa khóa, rồi tìm cách sao chép chiếc chìa khóa đó để mở cửa, chứ không phải là mở khóa bằng chìa khóa vạn năng, phá khóa bằng kìm cộng lực.

Nếu coi Face ID của iPhone X là một bảo mật với 4 con số, từ 0000 tới 9999, thì việc của BKAV làm đầu tiên là… biết được 4 con số có thể mở khóa máy. Sau đó, BKAV làm động tác nhập mã từ 0000 tới 9999, tất cả là 10.000 lần thử, để tìm ra 4 con số bảo mật (mà BKAV đã biết từ trước). Sau mỗi 4 lần nhập sai, khi máy hiện cảnh báo, BKAV sẽ sử dụng mã đúng để mở máy, sau đó lại tiếp tục nhập. Cứ thế, BKAV sẽ tìm ra mã số, bằng một cách thủ công và mất thời gian, nhưng quan trọng nhất là cần biết mã đúng từ trước.

iPhone X với nhận diện khuôn mặt đi kèm với passcode và những công nghệ bảo mật đi kèm, không phải là “hổ giấy” dễ dàng bị hack. Với vài lần nhận diện khuôn mặt không thành công, iPhone X sẽ bắt người dùng phải nhập passcode, và passcode từ lâu đã là tầng bảo mật ít tiện lợi (so với nhận diện khuôn mặt hay vân tay) nhưng độ an toàn rất cao.

BKAV đã làm gì?

Thử nghiệm vượt qua iPhone X của BKAV, có sự xuất hiện của cả người nhập Face ID, và có cả passcode để nhập khi cần. Có thể nói, đây đơn thuần là một thử nghiệm về công nghệ Face ID của iPhone X, không thể coi nó là vượt mặt, hack, hay đánh bại hệ thống bảo mật của chiếc smartphone này.

Khi đã có được những điều kiện trên, BKAV bắt đầu tạo ra một chiếc mặt nạ để đánh lừa Face ID, hay nói cách khác là “dạy” cho Face ID khuôn mặt trên mặt nạ là mặt thật.

Face ID của iPhone X không phải là một giá trị cố định, nó được thay đổi dựa vào các lần nhận diện khuôn mặt thành công cũng như không thành công, để đảm bảo có thể nhận ra mặt chủ nhân dù có cắt tóc, cạo râu, mọc thêm mụn hay có thêm một hình xăm, vết sẹo. Bằng cách lợi dụng điều này, BKAV đã tạo ra một chiếc mặt nạ và đánh lừa Face ID đây là khuôn mặt mới của chủ nhân.

Để đánh lừa Face ID, BKAV sau khi tạo ra chiếc mặt nạ có những điểm giống với người thiết lập Face ID,đã cho chiếc iPhone X nhận diện mặt nạ rất nhiều lần, và sau mỗi 4 lần máy không nhận diện mặt nạ, mặt thật của chủ nhân sẽ xuất hiện để mở khóa. Cứ thế, BKAV khiến cho Face ID lưu lại những dữ liệu mới về khuôn mặt trên mặt nạ, và dần coi nó như mặt thật. Cuối cùng, sau khoảng 9 tiếng “dạy” Face ID, iPhone X đã chấp nhận mặt nạ là một gương mặt có thể tin cậy, và cho phép mở khóa.

Như đã nói, thành công của BKAV là chứng minh Apple đã không đúng khi tuyên bố Face ID không nhận diện với mặt nạ. Nhưng BKAV không thể làm gì hơn ngoài điều kểtrên, vì không thể tạo ra một chiếc mặt nạ để mở khóa iPhone X, mà không qua quá trình ép Face ID học thuộc bài, như đã nói ở trên.

Face ID có an toàn?

Trên thực tế, mật mã càng đơn giản, càng tiện cho người dùng bao nhiêu, thì càng dễ bị vượt qua bấy nhiêu. Những mật khẩu như 12345678 hay 11111111 luôn được đánh giá là cực yếu và dễ bị vượt qua, dù nó thực sự tiện lợi cho người sử dụng mỗi khi nhập mã sử dụng.

So với những dòng mật khẩu dài dòng, thì bảo mật vân tay hay bảo mật nhận diện khuôn mặt, vừa đơn giản dễ sử dụng, và vừa đảm bảo không dễ dàng để vượt qua, đang chứng minh được tính hiệu quả của mình.

Tất nhiên khác với vân tay là một giá trị gần như cố định, thì gương mặt là thứ thay đổi hàng ngày, từ râu tóc, béo gầy, cười mếu…, và Face ID để tiện dụng hơn cho người dùng, sẽ tự động học thêm mỗi lần nhận diện để chủ nhân có thể dễ dàng thành công khi mở khóa.

Với những gương mặt thay đổi nhiều như cạo tóc cạo râu, Face ID sẽ yêu cầu người dùng nhập passcode để đăng nhập, và sau khi nhập passcode, máy sẽ tự động lưu lại những thay đổi trên khuôn mặt và bổ sung vào dữ liệu mở khóa.

Rõ ràng, Face ID vẫn đủ độ an toàn với người dùng, đồng thời vẫn đủ dễ dàng để mở khóa thiết bị khi thay đổi diện mạo. Cái giá của sự tiện lợi khi Face ID biết “học” này, là nó sẽ có thể bị cưỡng bức phải học những giá trị sai, như một chiếc mặt nạ thô sơ của BKAV. Tất nhiên nếu không được mở khóa kịp thời bằng mặt thật của chủ nhân hay passcode, thì iPhone X sẽ không tự học, tức là nó vẫn đảm bảo an toàn trong các tình huống máy bị thất lạc, hay cố gắng hack.

Tóm lại, với một chiếc mặt nạ nhân tạo, dù được in 3D hoàn hảo với sự trợ giúp của chủ nhân, iPhone X vẫn sẽ yêu cầu xác thực lại bằng khuôn mặt thật hoặc bằng passcode. Hack được Face ID, cho tới thời điểm này, là cựckhó, dù không phải là không thể, bởi bất cứ lớp bảo mật nào cũng có những điểm yếu của nó.

Apple chưa đưa ra bình luận nào sau khi BKAV tuyên bố có thể “đánh bại” Face ID của iPhone X. Có vẻ như Apple cũng đã tính toán trước đến việc này trước khi đưa ra sản phẩm, và vẫn tự tin vào khả năng bảo mật bằng nhận diện khuôn mặt của iPhone X.

Apple không nói gì, có khi, họ xemchuyện ai đó tuyên bố đã hack đượcFace ID chỉ là chuyện vui, có khi lại tốt về mặt truyền thông cho chính iPhone X.