Dân Việt

CEO Nguyễn Tử Quảng: Mất vài phút để phát hiện lỗi Face ID IPhone X

Nguyên Phương - Anh Thư 18/11/2017 08:25 GMT+7
Trả lời Dân Việt, CEO của BKAV ông Nguyễn Tử Quảng cho biết, chỉ sau vài phút dùng thử, anh và đội ngũ nhân viên của mình đã phát hiện lỗ hổng trong phương thức bảo mật bằng nhận diện khuôn mặt (Face ID) ở chiếc iPhone X vừa được Apple ra mắt.

img

CEO Nguyễn Tử Quảng của BKAV cho biết chỉ mất vài phút để phát hiện lỗi Face ID của iPhone X

Mất vài phút để phát hiện lỗi hổng Face ID

Mở đầu cuộc trò chuyện với Dân Việt, CEO Nguyễn Tử Quảng của BKAV kể lại: “Ngay từ khi Apple ra mắt iPhone X và thông tin tới người dùng về tính năng nhận diện khuôn mặt, cũng như việc bỏ tính năng nhận diện bằng vân tay, chúng tôi đã phát hiện ra vấn đề. Bởi bản chất của tính năng nhận diện khuôn mặt là chụp ảnh.

Trong khi đó, khoa học đã chứng minh rằng vân tay và mống mắt là hai đặc điểm duy nhất trên cơ thể con người chứng minh bạn là thực thể duy nhất không có người thứ hai giống bạn trên đời, khuôn mặt không chứng minh được. Trước đây là các cặp sinh đôi, gần đây là anh em, chị em hay thậm chí mẹ con cũng có thể mở khóa iPhone X bằng Face ID”.

img

Tính năng Face ID bị qua mặt bởi một cặp chị em sinh đôi

Theo ông Nguyễn Tử Quảng, ngay từ khi ra mắt, Apple cho biết họ bỏ nhận diện vân tay và sử dụng nhận diện khuôn mặt bằng trí tuệ nhân tạo (AI), ông đã nhận ra vấn đề.

“AI thực chất chỉ là sự nhận diện, phân loại thôi. Nhà sản xuất tích hợp trong trí tuệ nhân tạo (AI) rất nhiều dữ liệu. Từ đó, AI sẽ phân loại những dữ liệu nhận được theo từng nhóm khác nhau. Ở đây, nhà sản xuất đưa vào những hình ảnh khuôn mặt của hàng tỷ người và các loại mặt nạ do Hollywood sản xuất thì AI chỉ phân biệt được những gì chúng có thôi.

Trường hợp nếu sử dụng một khuôn mặt nửa mặt người, nửa mặt nạ thì sẽ thế nào? Chắc chắn là còn khiếm khuyết.

Vậy nên, khi Apple chính thức mở bán iPhone X, chúng tôi đã tìm mua một chiếc về để thử tính năng Face ID. Và chỉ sau vài phút dùng thử, chúng tôi khẳng định phân tích của mình là đúng. Sau đó, mất thêm vài ngày để nghiên cứu và khẳng định chính thức” – CEO Nguyễn Tử Quảng nói.

Ông Quảng cho rằng, khi người ta chụp lại hàng trăm nghìn bức ảnh khác nhau, trí tuệ nhân tạo (AI) sẽ tìm và phân loại, xếp nhóm những thứ mà nhìn trên bề mặt có vẻ giống nhau. Với AI, dữ liệu càng đầy đủ, việc phân tích, nhận diện càng chính xác.

Với Face ID của iPhone X, nhà sản xuất sẽ tích hợp tất cả dữ liệu về khuôn mặt trên Internet vào trí tuệ nhân tạo (AI), và cả những chiếc mặt nạ nữa. Từ đó, AI sẽ tự phân nhóm đâu là người châu Âu, châu Á, châu Phi hay da trắng, da màu. Có một nhóm khác, nhà sản xuất cũng sẽ giúp AI nhận diện là nhóm mặt nạ.

Sau khi người dùng nhận diện Face ID bằng mặt thật, rồi sử dụng mặt nạ để che đi khuôn mặt thật, Face ID sẽ nhận diện đó là mặt nạ. Loại mặt nạ Apple sử dụng do Hollywood làm là mặt nạ silicone nên Face ID chỉ có thể phân biệt được một số loại mặt nạ.

img

Chiếc mặt nạ giúp BKAV phát hiện lỗ hổng Face ID của iPhone X

Ông Quảng đặt câu hỏi: “Còn những loại mặt nạ khác, không do Hollywood làm như mặt nạ dưỡng da cho phụ nữ thì Face ID sẽ phản ứng như thế nào?”

Rồi ông Quảng tiếp tục trả lời: “Tôi từng thử quấn băng dính quanh mặt anh Tuấn Anh – một nhân viên của tôi, quả nhiên Face ID của iPhone X vẫn chấp nhận. Rõ ràng Apple muốn tạo ra một sản phẩm có tính an toàn, bảo mật cao nhờ Face ID nhưng sản phẩm này lại quá tiện lợi. Thực tế, tiện lợi và an ninh là hai yếu tố chưa bao giờ song hành cùng nhau.

Chúng tôi đã tạo ra một khuôn mặt giả bằng hai mắt được dán ảnh 2D, mồm là ảnh chụp thật, mũi làm bằng silicon được chế tác gần giống thật nhất. Phần má dùng băng dính giấy dán lên, AI không nhận ra đây là mặt nạ nữa. Dựa vào triết lý thật giả đan xen, chúng tôi đã phát hiện lỗ hổng Face ID của Apple.

AI dù thế nào cũng vẫn là do con người tạo ra và nó chỉ ở mức độ làm tốt nhất theo kinh nghiệm của người dạy nó, tạo ra nó, ở đây là Apple. Vậy nếu bạn có kinh nghiệm nhiều hơn thì bạn có thể vượt qua nó.

Apple sử dụng trí tuệ nhân tạo AI nhưng lại không đủ tập dữ liệu để có thể mô phỏng hết những tình huống xảy ra trong đời thực. AI của Apple có thể phân biệt một khuôn mặt thật hoặc một khuôn mặt giả nhưng khi làm một khuôn mặt nửa thật, nửa giả thì Face ID đã bị mắc lừa”.

“Nếu là tiểu xảo, sao bao nhiêu người không làm được?”

Trước những ý kiến dư luận cho rằng màn bóc mẽ công nghệ Face ID của Iphone X thực ra chỉ là một màn “tiểu xảo”, CEO Nguyễn Tử Quảng tự tin khẳng định: “Bất kì điều gì chúng tôi làm đều gây tranh cãi bởi những gì chúng tôi làm đều ở tầm thế giới, là đặc biệt ở Việt Nam nên nhiều người thấy rất khó tin. Vậy nên, bất kể điều gì tôi làm hay nói cũng đều có ý kiến tranh luận gay gắt.

Khi Apple ra mắt iPhone X, nhiều người nghĩ rằng đó là một sản phẩm rất khó vượt qua nhưng chúng tôi nghĩ khác. Chúng tôi nhìn thấy cơ hội để vươn lên.

Nếu nói là tiểu xảo, vì sao các công ty an ninh mạng, các hãng công nghệ không thể làm được một chiếc mặt nạ như vậy? Thậm chí họ còn nhờ cả hacker từng vượt qua bảo mật vân tay của Apple nhưng cuối cùng họ vẫn không thể vượt qua? Chúng tôi vượt qua được Face ID nhờ sự hiểu biết cực kì chất, không ra bản chất thì không tận gốc vấn đề”.

img

Ông Quảng cho rằng Apple cực kì mạo hiểm khi sử dụng AI trong bảo mật

Ông Quảng cho rằng Apple cực kì mạo hiểm khi sử dụng AI trong bảo mật, AI nên dùng cho những sản phẩm yêu cầu sự thuận tiện nhiều hơn. Sản phẩm của Apple luôn có sức hấp dẫn lớn, một sản phẩm tung ra có thể thu hút hàng trăm triệu người dùng ngay lập tức. Song nhiệm vụ của người làm an ninh là cảnh báo những vấn đề nếu nhìn thấy nó. Riêng phần nhận diện khuôn mặt, BKAV đã làm từ 10 năm trước.

Ông Quảng kết thúc câu chuyện: “Nếu nói tôi không có ý định làm cho thương hiệu của BKAV, Việt Nam tốt lên là nói dối. Đây chính là cơ hội để BKAV thể hiện năng lực của mình. Chúng tôi không làm sẽ có người khác làm. Chúng tôi chỉ chỉ ra những điểm chưa tốt để cả xã hội cùng tiến lên. Nếu không, hacker sẽ lợi dụng nó để làm việc xấu”.

Sự kiện hãng bảo mật Bkav tuyên bố phá vỡ được hàng rào an ninh sinh trắc học trên iPhone X thu hút sự quan tâm của không chỉ báo giới trong nước mà còn trở thành vấn đề nóng bỏng trên mặt báo quốc tế.

Khi được Reuters và Forbes liên hệ về việc này, Apple từ chối bình luận cả hai hãng thông tấn và chỉ gửi lại website giải thích hoạt động của Face ID. Trang web của Apple giải thích khả năng một người ngẫu nhiên mở khóa được điện thoại của người khác bằng gương mặt của mình là xấp xỉ 1/1.000.000, so với 1 trong 50.000 của máy quét vân tay. Ngoài ra, Face ID sẽ đòi mật khẩu nếu 5 lần thử mở khóa bằng gương mặt thất bại.

Truyền thông nước ngoài tỏ ra hoài nghi trước những công bố của Bkav. Phó Chủ tịch Bkav Ngô Tuấn Anh đã trình diễn thao tác mở khóa iPhone X bằng gương mặt và mặt nạ cho Reuters nhưng ông từ chối đăng ký ID và mặt nạ trên thiết bị khác vì cho biết iPhone và mặt nạ cần được đặt ở các góc cụ tỉ, quy trình có thể mất khoảng 9 tiếng.

Theo ông Ngô Tuấn Anh, chuẩn bị được mặt nạ không phải chuyện dễ dàng và việc trình diễn cho thấy xác thực nhận diện gương mặt cũng rủi ro với một số người. “Không dễ để người bình thường làm điều mà chúng tôi đang làm ở đây nhưng nó là mối lo ngại cho những người trong lĩnh vực bảo mật và những yếu nhân như chính trị gia hay người đứng đầu doanh nghiệp. Họ không nên cho bất kỳ người nào mượn iPhone X nếu đã kích hoạt Face ID”.

Trong khi đó, blog TechCrunch lại viết rằng Bkav vẫn chưa trả lời các câu hỏi của mình, bao gồm vì sao tập đoàn chưa chia sẻ nghiên cứu với Apple nếu như các nỗ lực hack iPhone X là chính đáng. TechCrunch cũng hoài nghi video qua mặt Face ID bằng mặt nạ có thể bị làm giả bằng vài cách, dễ nhất là “dạy” Face ID về chiếc mặt nạ trước khi giới thiệu nó với gương mặt thật sự. Blog không rõ Bkav đã thử nghiệm bao nhiêu lần dù công ty khẳng định “không dùng passcode” khi tạo ra mặt nạ. Nếu các chuyên gia nhập passcode sau 5 lần mở khóa thất bại, thiết bị có thể “học” thêm dữ liệu mới, bao gồm cả dữ liệu về chiếc mặt nạ kia.

Tạp chí Forbes “cần nhiều thông tin hơn” vì cho rằng “còn một vài sơ hở trong nghiên cứu”. Những lý lẽ mà Forbes đưa ra khá giống với TechCrunch. Còn theo Wired, Bkav không hồi đáp phần lớn trong danh sách dài các câu hỏi gửi đến. Băn khoăn lớn nhất của Wired là chính xác chiếc điện thoại được đăng ký và đào tạo thế nào đối với gương mặt thật của chủ nhân thiết bị.

Wired dẫn ý kiến của chuyên gia bảo mật Marc Rogers: “Nhân viên Bkav có lẽ đã làm “suy yếu” mô hình số trên điện thoại bằng cách dạy nó về gương mặt chủ nhân trong khi một số chi tiết bị che khuất, về cơ bản là dạy điện thoại nhận diện một gương mặt giống với mặt nạ thay vì tạo ra chiếc mặt nạ có vẻ ngoài thật sự giống gương mặt chủ nhân”. Ông Rogers đang làm việc cho hãng bảo mật Cloudflare, là một trong những người đầu tiên phá vỡ được máy quét vân tay Touch ID của Apple năm 2013.

(Theo ICT News)