Apple nói gì khi Bkav “qua mặt” Face ID trên iPhone X?

Sự kiện hãng bảo mật Bkav tuyên bố phá vỡ được hàng rào an ninh sinh trắc học trên iPhone X thu hút sự quan tâm của không chỉ báo giới trong nước mà còn trở thành vấn đề nóng bỏng trên mặt báo quốc tế.

Khi được Reuters và Forbes liên hệ về việc này, Apple từ chối bình luận cả hai hãng thông tấn và chỉ gửi lại website giải thích hoạt động của Face ID. Trang web của Apple giải thích khả năng một người ngẫu nhiên mở khóa được điện thoại của người khác bằng gương mặt của mình là xấp xỉ 1/1.000.000, so với 1 trong 50.000 của máy quét vân tay. Ngoài ra, Face ID sẽ đòi mật khẩu nếu 5 lần thử mở khóa bằng gương mặt thất bại.

Bài báo trên tạp chí Forbes có tiêu đề: "Apple Face ID bị mặt nạ 150 USD đánh lừa, nhưng câu hỏi lớn còn bỏ ngỏ".

Truyền thông nước ngoài tỏ ra hoài nghi trước những công bố của Bkav. Phó Chủ tịch Bkav Ngô Tuấn Anh đã trình diễn thao tác mở khóa iPhone X bằng gương mặt và mặt nạ cho Reuters nhưng ông từ chối đăng ký ID và mặt nạ trên thiết bị khác vì cho biết iPhone và mặt nạ cần được đặt ở các góc cụ tỉ, quy trình có thể mất khoảng 9 tiếng.

Theo ông Ngô Tuấn Anh, chuẩn bị được mặt nạ không phải chuyện dễ dàng và việc trình diễn cho thấy xác thực nhận diện gương mặt cũng rủi ro với một số người. “Không dễ để người bình thường làm điều mà chúng tôi đang làm ở đây nhưng nó là mối lo ngại cho những người trong lĩnh vực bảo mật và những yếu nhân như chính trị gia hay người đứng đầu doanh nghiệp. Họ không nên cho bất kỳ người nào mượn iPhone X nếu đã kích hoạt Face ID”.

Trong khi đó, blog TechCrunch lại viết rằng Bkav vẫn chưa trả lời các câu hỏi của mình, bao gồm vì sao tập đoàn chưa chia sẻ nghiên cứu với Apple nếu như các nỗ lực hack iPhone X là chính đáng. TechCrunch cũng hoài nghi video qua mặt Face ID bằng mặt nạ có thể bị làm giả bằng vài cách, dễ nhất là “dạy” Face ID về chiếc mặt nạ trước khi giới thiệu nó với gương mặt thật sự. Blog không rõ Bkav đã thử nghiệm bao nhiêu lần dù công ty khẳng định “không dùng passcode” khi tạo ra mặt nạ. Nếu các chuyên gia nhập passcode sau 5 lần mở khóa thất bại, thiết bị có thể “học” thêm dữ liệu mới, bao gồm cả dữ liệu về chiếc mặt nạ kia.

Tạp chí Forbes “cần nhiều thông tin hơn” vì cho rằng “còn một vài sơ hở trong nghiên cứu”. Những lý lẽ mà Forbes đưa ra khá giống với TechCrunch. Còn theo Wired, Bkav không hồi đáp phần lớn trong danh sách dài các câu hỏi gửi đến. Băn khoăn lớn nhất của Wired là chính xác chiếc điện thoại được đăng ký và đào tạo thế nào đối với gương mặt thật của chủ nhân thiết bị.

Wired dẫn ý kiến của chuyên gia bảo mật Marc Rogers: “Nhân viên Bkav có lẽ đã làm “suy yếu” mô hình số trên điện thoại bằng cách dạy nó về gương mặt chủ nhân trong khi một số chi tiết bị che khuất, về cơ bản là dạy điện thoại nhận diện một gương mặt giống với mặt nạ thay vì tạo ra chiếc mặt nạ có vẻ ngoài thật sự giống gương mặt chủ nhân”. Ông Rogers đang làm việc cho hãng bảo mật Cloudflare, là một trong những người đầu tiên phá vỡ được máy quét vân tay Touch ID của Apple năm 2013.

Bài báo trên ArsTechnica: "Hacker nói đã phá vỡ Face ID của Apple, còn đây là lý do chúng tôi chưa bị thuyết phục".

Trang Arstechnica đặt vấn đề: một trong những chi tiết quan trọng nhất là mặt nạ mở khóa iPhone ngay lập tức hay chỉ thành công sau khoảng thời gian dài nạp dữ liệu. Sách trắng Face ID của Apple chỉ rõ tính năng chụp các góc khác nhau theo thời gian và dùng chúng để bổ sung dữ liệu Face ID. Nếu nhà nghiên cứu “dạy” Face ID làm quen với mặt nạ, họ đang có lợi thế hơn hẳn một kẻ tấn công trong đời thực.

Một yếu tố cần cân nhắc khác là mặt nạ được làm ra như thế nào. Chẳng hạn, nghệ sĩhay nhà nghiên cứu có tiếp cận gương mặt thật mà mặt nạ được làm theo? Người đó có ngồi lại để đo đạc hay làm khuôn cho mặt nạ? Haymặt nạ được tạo ra chỉ bằng các hình ảnh, video được chụp lại mà đối tượng không hề hay biết? Nếu mặt nạ chỉ có thể tạo ra với sự giúp đỡ của đối tượng, việc phá vỡ hàng rào bảo mật không có ý nghĩa.

Face ID là giải pháp mở khóa và xác thực thanh toán tiên tiến thay thế Touch ID trên iPhone. Theo Apple, công nghệ đằng sau Face ID đã được phát triển vài năm và quyền riêng tư của người dùng luôn là ưu tiên hàng đầu. Face ID được kích hoạt bởi hệ thống camera TrueDepth và chip A11 Bionic, dùng công nghệ tiên tiến để lập bản đồ và khớp hình dạng gương mặt một người.

Apple đã thử nghiệm Face ID trên nhiều người tại nhiều quốc gia, văn hóa, chủng tộc và tôn giáo, sử dụng hơn 1 tỷ hình ảnh để đào tạo mạng thần kinh và chống lại việc lừa đảo.