Hãy đọc thật kỹ các tin tức có đề cập tới XZ1 Premium và Face ID: BKAV có khẳng định liệu chỉ duy nhất một thiết bị phổ thông như chiếc smartphone Sony là đủ để tạo ra một mô hình đủ chi tiết cho mặt nạ 3D? Tại sao đâu đó vẫn còn bóng dáng của những thiết bị chuyên dụng trong cách hack của BKAV?
Như vậy, buổi họp báo về sự kiện BKAV "hack" Face ID đã kết thúc. Nếu như trước buổi họp báo này bạn vẫn còn nghi ngờ thì chúng tôi có thể khẳng định với bạn một cách chắc chắn rằng BKAV thực sự qua mặt được Face ID bằng mặt nạ chế tạo rất công phu.
Toàn bộ dụng cụ BKAV đã sử dụng để qua mặt Face ID của iPhone X.
Tuy vậy, kết thúc buổi họp, CEO Nguyễn Tử Quảng chỉ giải đáp một số câu hỏi được BKAV chuẩn bị từ trước. Câu hỏi lớn nhất mà chúng tôi từng đặt ra, cốt lõi của vấn đề vẫn chưa thực sự được rõ ràng: BKAV làm thế nào để tạo ra mô hình Face ID?
Bạn đọc theo dõi buổi họp báo có thể sớm đưa ra câu trả lời: Xperia XZ1 Premium. Tuy vậy, chúng tôi cảm thấy rằng câu trả lời này không thực sự thuyết phục: BKAV đã không xác nhận 100% rằng chỉ riêng XZ1 Premium thôi có phải là đủ. Trong buổi họp báo, BKAV sử dụng rất nhiều đến từ "có thể".
Công nghệ không dừng ở "có thể"
Sẽ có rất nhiều vấn đề nảy sinh từ 2 chữ "có thể" của BKAV. Nói ví von, tôi không tránh khỏi cảm giác rằng BKAV đang không rõ ràng theo kiểu "chỉ dùng duy nhất xe máy có thể đi phượt hàng nghìn cây số". Sẽ có những đoạn đường phải qua sông, phải đưa xe máy lên thuyền.
Có đoạn xe máy không đi được qua đường lầy lội, phải có xe thồ hoặc trâu bò kéo qua. Nói "chỉ dùng xe máy" vừa đúng, lại vừa sai. Đúng ở chỗ, xe máy di chuyển được. Sai khi bạn mổ xẻ chi tiết hành trình.
Vẫn còn nhiều điều chưa chắc chắn.
Mà nhắc đến chuyện thiết bị số, chúng ta không thể không đi vào chi tiết.
Chúng ta vẫn chưa có một lời khẳng định chắc chắn rằng, một thiết bị phổ thông (ai cũng có thể ra hàng, "chồng tiền" và mua được) như Xperia XZ1 Premium có phải là thiết bị duy nhất mà BKAV cần dùng để tạo ra một bản vẽ đủ chi tiết đến mức có thể đánh lừa Face ID hay không?
Nếu đúng là như vậy, vì sao vẫn có nhiều luồng thông tin nhắc đến máy quét chuyên dụng, bao gồm cả thông tin "nhiều người sắp mua máy" mà BKAV hé lộ cho 1 diễn đàn mạng.
Ở đây, tôi cho rằng người hâm mộ công nghệ cần một câu trả lời rõ ràng, thay vì những điều "có thể". Bản vẽ hoặc đủ thông tin, hoặc không. Giữa Xperia và thiết bị chuyên dụng cần có sự phân định rạch ròi.
Nếu đã chụp được ảnh 3D thì bạn làm gì nạn nhân cũng được?
Khi đánh giá bảo mật, chúng ta không thể bỏ quên một khía cạnh quan trọng: Không một ai có thể đảm bảo iPhone, Bphone, smartphone Android, webcam, laptop Windows, mode, Xbox One nối Kinect v...v... sẽ miễn nhiễm 100%, dù là qua mật khẩu, cảm biến vân tay, nhận diện khuôn mặt 2D (như Android), cảm biến mống mắt hay Face ID.
Khi so sánh, mỗi biện pháp bảo mật đều sẽ có điểm yếu và không thể 100% hacker-proof, biện pháp an toàn nhất chỉ là giảm thiểu khả năng tiếp cận đến phương pháp hack hoàn hảo mà thôi.
Điều này đưa chúng tôi trở lại câu hỏi đã đặt ra từ trước: một thế lực tội phạm đủ mạnh để ép bạn ngồi yên một chỗ, hoặc cử người đi theo dõi hay cầm XZ1 Premium... "quơ quơ" trước mặt bạn, liệu có thể ép bạn dùng cảm biến vân tay hay buộc bạn hé lộ passcode hay không?
Hãy nhớ rằng khi CCC hack cảm biến mống mắt của Galaxy S8, nhiều người cũng đã nhìn thấy vấn đề tương tự: bạn làm thế nào cầm máy hồng ngoại chụp trực diện mống mắt của "nạn nhân" để đem về in?
Nếu đã ép được nạn nhân ngồi yên một chỗ, nếu đã theo dõi được nạn nhân, thiếu gì cách khác để thu thập được thông tin của người đó?
Trong tình huống của BKAV, dĩ nhiên đội ngũ hack có thể "dùng" tới khuôn mặt của vị phó giám đốc bất cứ khi nào họ cần. Ai có thể ép bạn làm điều tương tự?
Chúng ta đang nói đến các thế lực không phải là người dùng thông thường. Nói cách khác, nếu cần dùng đến máy quét chuyên dụng, các tình huống đặc thù và các khâu chế tác khó khăn để tạo ra được mặt nạ đủ đánh lừa Face ID, đơn giản chỉ nói "hack được hay không hack được" là quá thiếu sót.
Bởi, làm gì có thứ gì không hack được: Touch ID cũng đã từng bị hack, còn với Android, chưa ai... thèm hack cả bởi chỉ riêng hệ điều hành và thói quen sideload thôi cũng đã đủ lỗ hổng rồi.
Proof of Concept
Cụm camera TrueDepth của iPhone X, một phần công nghệ không thể thiếu tạo nên Face ID.
Về phía các bên, chính bản thân Apple cũng đã thừa nhận rất nhiều điểm chưa hoàn hảo của Face ID. Song, từ sự không hoàn hảo của Face ID đến thông điệp của BKAV rằng "qua mắt Face ID rất dễ dàng" và rồi đến các sự cố bảo mật diện rộng là cả một hành trình dài.
Công ty bảo mật hàng đầu Việt Nam thừa nhận rằng ý tưởng của mình chỉ là "proof of concept", là minh chứng cho thấy ý tưởng có thể thực hiện được.
Ai làm công nghệ đều hiểu hành trình từ bất kỳ PoC nào đến thực tế triển khai có thể rất dài và khó khăn. BKAV đã để lại quá nhiều câu hỏi chưa giải đáp, quá nhiều thông tin chưa có sự xác thực chắc chắn... Điều đó khiến cho thông điệp "ngầm" của BKAV trở nên khó thuyết phục với những người chịu nhìn sâu hơn.