11 Tính năng bảo mật FaceID của iphone X có thực sự an toàn?

Bất kể cách tiếp cận công nghệ cụ thể, khái niệm sử dụng khuôn mặt người dùng như là chìa khóa cho bí mật số sẽ gặp một số vấn đề cơ bản. Không giống như một mật mã, khuôn mặt của bạn không thể dễ dàng thay đổi. Nếu ai đó tìm ra cách để giả mạo nó, có thể sử dụng phương pháp in 3D, họ có thể giả mạo bạn mãi mãi.

FaceID là gì?

Với sứ mệnh tạo ra sự hoàn hảo về phần cứng, Apple có vẻ như không thể bỏ qua việc kiểm tra sự cân bằng giữa việc dễ dàng sử dụng với tính bảo mật của sản phẩm. Một điều chắc chắn rằng việc sử dụng mật khẩu 6 ký tự là rất an toàn khi mà kẻ trộm không thể sử dụng điện thoại của người dùng khi mà họ luôn luôn khóa điện thoại. Tuy nhiên, việc làm này sẽ tốn thời gian của người dùng khi mở máy. Bên cạnh đó, việc sử dụng TouchID yêu cầu phải sử dụng nút Home cũng làm cho Apple cảm thấy chiếc điện thoại của mình không đẹp mắt. Tuy nhiên, hiện tại, trong cuộc chiến không ngừng nghỉ với sự bất tiện, Apple đã thay thế TouchID trong sản phẩm hàng đầu của họ bằng FaceID, một hệ thống mà khuôn mặt của người dùng được sử dụng như là mật khẩu mở khóa.

Về mặt lý thuyết, FaceID bạn đơn giản chỉ cần nhìn vào chiếc điện thoại của mình và nó sẽ tự nhận dạng ra bạn trong vòng chưa tới một giây và tự động mở khóa. FaceID không chỉ được tích hợp vào việc mở khóa màn hình, mà còn trong mọi hoạt động khác cần đến mật khẩu như tải ứng dụng về máy, thanh toán tiền với Apple Pay.

“Với iPhone X, chiếc iPhone của bạn sẽ bị khóa cho đến tận khi bạn nhìn vào nó và nó nhận được ra bạn. Không gì có thể đơn giản, tự nhiên và dễ dàng hơn.” Phil Schiller, Phó Giám đốc phụ trách marketing toàn cầu của Apple, thổ lộ trong buổi ra mắt sản phẩm mới. “Đây là tương lai của cách chúng ta sẽ mở khóa chiếc điện thoại thông minh và bảo vệ những thông tin nhạy cảm của mình”

Nếu vậy, phiên bản nhận dạng khuôn mặt của Apple phải vượt qua được những khiếm khuyết của các hệ thống tương tự trong quá khứ. Mặc dù FaceID có vẻ cải tiến hơn các hệ thống trước đây theo một số khía cạnh chính, tuy nhiên việc sử dụng khuôn mặt như chìa khóa duy nhất để bảo vệ thiết bị vẫn phải đối mặt với một vài vấn đề lớn hơn.

Những vấn đề trước mắt

Các hệ thống nhận diện khuôn mặt từ lâu đã rất dễ bị đánh bại. Ví dụ, vào năm 2009, các nhà nghiên cứu về bảo mật đã chỉ ra rằng họ có thể đánh lừa các hệ thống đăng nhập dựa trên khuôn mặt được sử dụng cho một loạt loại máy tính xách tay chỉ với một bức ảnh in. Bức ảnh này chụp khuôn mặt của người chủ sở hữu chiếc máy tính xách tay và được chụp bởi camera trước của chiếc máy tính xách tay đó. Vào năm 2015, Dan Moren, nhà báo của trang Popular Science, đã đánh bại hệ thống nhận diện khuôn mặt của Alibaba chỉ bằng việc sử dụng một video có chứa hình ảnh nhắm mắt của chính mình.

Tuy vậy, việc bẻ khóa hệ thống FaceID sẽ không đơn giản như vậy. Chiếc iPhone mới này sử dụng một hệ thống hồng ngoại mà Apple gọi là TrueDepth để tạo ra một mạng lưới của 30.000 điểm sáng không thể thấy được bằng mắt thường lên mặt của người dùng. Một hệ thống camera hồng ngoại sau đó chụp lại sự biến dạng của lưới này khi người dùng quay đầu để tạo thành mô hình 3D của khuôn mặt của họ – một thủ thuật tương tự như việc chụp ảnh khuôn mặt thật của các diễn viên để biến chúng thành các nhân vật hoạt hình.

Mô hình 3D này đã chứng tỏ cho mọi người thấy là nó khó để bị giả mạo hơn so với các hệ thống nhận diện hình ảnh đơn giản hơn đã được triển khai trước đó. Marc Rogers, một nhà nghiên cứu bảo mật tại Cloudfare, đã nhấn mạnh rằng: “Nhưng điều này không có nghĩa là mô hình này không thể bị vượt qua”. Rogers cũng là một trong những người đầu tiên mô phỏng việc giả mạo một dấu vân tay giả để đánh lừa hệ thống TouchID. Rogers nói rằng có thể chính ông hoặc ít nhất là một vài người nào đó sẽ bẻ khóa được FaceID. Trong một cuộc phỏng vấn trước buổi giới thiệu FaceID của Apple, Rogers đã gợi ý việc in 3D đầu của chủ nhân điện thoại cần mở khóa và sử dụng bản in đó để mở khóa chiếc điện thoại này là có thể. “Thời điểm một ai đó có thể tái tạo được khuôn mặt của bạn bằng cách mà nó có thể phát lại trên máy tính là thời điểm bạn gặp vấn đề”, Rogers nói. “Tôi thích bắt đầu bằng việc sử dụng in 3D mô phỏng đầu của chính tôi và xem xem liệu tôi có thể sử dụng nó để mở khóa hệ thống FaceID không.”

Sau tất cả, thậm chí có một số hệ thống nhận diện khuôn mặt 3D đã bị giả mạo trước đó: Hai năm trước đây, phòng nghiên cứu về bảo mật ở Berlin (Berlin-based SR Labs) đã sử dụng một khuôn thạch cao mô phỏng khuôn mặt của một đối tượng nghiên cứu để vượt qua hệ thống nhận dạng khuôn mặt Hello của Microsoft. Hệ thống thử nghiệm này được triển khai trên nhiều nhãn hiệu máy tính xách tay và sử dụng cùng một loại cảm ứng hồng ngoại. Nhóm nghiên cứu không công bố loại chất liệu được sử dụng trong khuôn này, nhưng người sáng lập ra Berlin-based SR Labs – Karsten Nohl lưu ý rằng nó bắt chước không chỉ hình dạng của khuôn mặt mà còn là cả tính chất phản chiếu ánh sáng của da. Ông Nohl nói: “Nó thực sự khó hơn việc giả mạo dấu vân tay”.

Trong bài thuyết trình chính của mình, Schiller gợi ý rằng ngay cả những kiểu giả mạo đó sẽ không làm việc với FaceID. Ông cho thấy một bức ảnh mặt nạ chi tiết tinh vi được tạo ra bởi chuyên gia tư vấn hiệu ứng Hollywood mà ông cho biết Apple đã sử dụng để thử nghiệm các tính năng. Tuy nhiên, Schiller không thể khẳng định rằng không có mặt nạ nào đánh bại hệ thống.

Những câu hỏi lớn vẫn chưa có câu trả lời về tính bảo mật của FaceID, và người ta không hiểu làm thế nào để đảm bảo hệ thống thực sự cho tới khi những chuyên gia bảo mật như Rogers hay Nohl có cơ hội kiểm tra công khai nó. Ví dụ, công nghệ nhận dạng khuôn mặt của Apple có thể sử dụng công nhận dạng hình ảnh dựa trên màu sắc trong hệ thống của mình. Điều này đòi hỏi bất kỳ một khuôn mặt mô phỏng nào được thiết kế để giả mạo hệ thống cũng phải được tô màu tỉ mỉ. Nhưng vào thời điểm đó, Rogers nói rằng FaceID có thể không thực sự đo được màu sắc, bởi vì nó đòi hỏi quá trình xử lý và phụ thuộc vào nhiều điều kiện khác nhau như ánh sáng trong phòng, sức khoẻ của bạn, và gần đây bạn đã bị cháy nắng hay không. “Màu sắc không thêm nhiều giá trị và nó rất khác nhau” Rogers lập luận.

Những mối lo ngại rộng hơn

Bất kể cách tiếp cận công nghệ cụ thể, khái niệm sử dụng khuôn mặt người dùng như là chìa khóa cho bí mật số sẽ gặp một số vấn đề cơ bản. Không giống như một mật mã, khuôn mặt của bạn không thể dễ dàng thay đổi. Nếu ai đó tìm ra cách để giả mạo nó, giống như phương pháp của SR Labs hoặc phương pháp in 3D mà Rogers đề xuất – họ có thể giả mạo mãi mãi. (Như Schiller đã thừa nhận trong bài phát biểu quan trọng của mình, bất kỳ cặp sinh đôi nào giống hệt nhau cũng cần phải xem xét sâu sắc về mức độ tin tưởng anh em song sinh của họ).

Thứ hai, rất khó để che giấu khuôn mặt của bạn từ những người muốn bắt bạn mở khóa điện thoại của bạn, như một kẻ cướp, một nhân viên hải quan, hay một cảnh sát vừa bắt bạn. Trong một số trường hợp, các nghi phạm hình sự tại Mỹ có thể yêu cầu Bộ luật bảo vệ sửa đổi thứ năm (the Fifth Amendment) bảo vệ khỏi việc tự buộc tội mình từ việc từ chối đưa mật khẩu điện thoại của họ. Sự bảo vệ đó cũng không áp dụng cho khuôn mặt của bạn. Apple nói rằng bạn sẽ cần phải nhìn trực tiếp vào màn hình để mở khóa FaceID. Vì vậy, sẽ không dễ dàng để lừa ai đó kích hoạt nó, nhưng cảnh sát chỉ đơn giản có thể giam bạn vì không tuân theo lệnh của tòa án cho đến khi bạn hợp tác.

Các nhà nghiên cứu tại Đại học Bắc Carolina năm ngoái cho thấy họ có thể sử dụng các hình ảnh trên Facebook để tái tạo khuôn mặt người 3D có thể đánh bại 5 ứng dụng nhận dạng khuôn mặt khác nhau mà họ đã thử nghiệm với tỷ lệ thành công 55 đến 85%.

Rich Mogull, chuyên gia phân tích an ninh, người đã làm việc rất lâu cho Apple, cho biết: “Đối với người dùng iPhone nói chung, khó khăn trong việc giả mạo FaceID cũng như truy cập vật lý vào một chiếc iPhone có thể sẽ làm cho bất kỳ cuộc tấn công nào cũng trở nên rất tốn kém. Nếu bạn đã buộc phải in một mô hình khuôn mặt của một ai đó để giả mạo họ, thì nguy cơ này có thể chấp nhận được đối với hầu hết mọi người. Nó tốn khá nhiều tiền để đột nhập vào một trong những thiết bị này. Và chúng tôi chấp nhận điều đó”. Ông nói thêm rằng những người cần sự đảm bảo lớn về bảo mật thì chỉ cần tắt nó đi. TouchID cũng vậy. “Nếu tôi là một điệp viên tình báo, tôi sẽ không bật bất kỳ lớp bảo mật sinh trắc học nào.”

Người dùng có thể kích hoạt hoặc vô hiệu hóa FaceID cho các ứng dụng cụ thể, Rogers gợi ý, để cẩn thận thì người dùng có thể chọn sử dụng nó mở khóa điện thoại nhưng không phải để thanh toán. Và Apple dường như đã thừa nhận hệ thống sinh trắc học của họ không phải là một giải pháp không thể sai lầm. “Không có hệ thống hoàn hảo nào cả”, Schiller cho biết trong buổi thuyết trình hôm thứ Ba, tuyên bố rằng một khuôn mặt khác có thể mở khóa iPhone X với tỉ lệ 1:1.000.000 – mặc dù đó là trong số những gương mặt được chọn ngẫu nhiên chứ không phải là những gương mặt được thiết kế cẩn thận để bắt chước.

Bằng chứng cụ thể hơn là Apple nhận ra những hạn chế của FaceID có thể được tìm thấy trong hai tính năng mới khác trong iOS 11. Một tính năng yêu cầu người dùng nhập mật mã của điện thoại để tin tưởng vào kết nối với một máy tính mới, làm cho việc trích xuất dữ liệu từ một điện thoại không khóa trở nên khó khăn hơn. Một tính năng khác là chế độ “SOS” cho phép người dùng nhấn nút Home hoặc Power 5 lần để vô hiệu TouchID hoặc FaceID, tùy thuộc vào kiểu điện thoại.

Những tính năng này cho thấy ngay cả Apple cũng hiểu được nhu cầu về các lớp bảo mật ở trong và ngoài FaceID. Rogers cảnh báo, người dùng iPhone không nên nhầm tưởng rằng hệ thống nhận dạng khuôn mặt của điện thoại là việc loại bỏ một số hạn chế về bảo mật để đổi lấy sự thuận tiện. “Apple luôn muốn trải nghiệm người dùng của mình trở nên thú vị” Rogers nói. “Tuy nhiên, trong thế giới an ninh, bạn sẽ phải chấp nhận những hạn chế nhất định.”. Và những hạn chế này có nghĩa là những phần bí mật nhất của bạn sẽ kém an toàn hơn mỗi khi ai đó gắn thẻ cho bạn trên Facebook. Có lẽ bạn nên xem xét sử dụng một mật mã kiểu cũ thay vì sử dụng hệ thống nhận dạng khuôn mặt.

 

(theo FPT TechInsight)

FPT Aptech – Hệ Thống Đào Tạo Lập Trình Viên Quốc Tế

FPT Aptech trực thuộc Tổ chức Giáo dục FPT có hơn 25 năm kinh nghiệm đào tạo lập trình viên quốc tế tại Việt Nam, và luôn là sự lựa chọn ưu tiên của các sinh viên và nhà tuyển dụng.
0981578920
icons8-exercise-96