Sau 4 tháng nghiên cứu công nghệ nhận dạng khuôn mặt ứng dụng trên máy tính xách tay, Trung tâm An ninh mạng Bkis nhận định: tính năng bảo vệ laptop bằng công nghệ này của ba hãng sản xuất Asus, Lenovo, Toshiba đều không đảm bảo an ninh.
Bkis khuyến cáo người sử dụng trên toàn cầu, trong thời gian chờ đợi các nhà sản xuất laptop tìm cách sửa chữa lỗ hổng, không nên sử dụng tính năng nhận diện khuôn mặt cho việc đăng nhập vào máy tính.
Công nghệ nhận dạng khuôn mặt được Asus, Lenovo và Toshiba cung cấp sẵn trong bộ phần mềm chuyên dụng đi kèm máy và đưa vào tất cả các dòng laptop có webcam, hỗ trợ hệ điều hành Windows Vista. Chủ nhân, thay vì phải gõ mật khẩu hoặc xác thực bằng vân tay, chỉ cần ngồi trước máy tính là có thể đăng nhập được.
Công nghệ này được các hãng giới thiệu là một tính năng nổi trội, giúp ngăn chặn người khác tiếp cận máy tính trái phép, đảm bảo an toàn thông tin cho chủ nhân.
Tuy nhiên, những nghiên cứu của Bkis cho thấy: tính năng xác thực bằng nhận dạng khuôn mặt của cả 3 hãng sản xuất laptop đều có thể bị vượt qua, mặc dù được thiết lập ở mức an ninh cao nhất.
Cơ chế xác thực sử dụng nhận dạng khuôn mặt
Ông Nguyễn Minh Đức, chuyên gia của Bkis, cho biết để áp dụng công nghệ này, người sử dụng phải để webcam chụp cận khuôn mặt mình với nhiều góc độ khác nhau. Việc này giúp máy tính "học thuộc" đặc điểm khuôn mặt chủ nhân và xây dựng dấu hiệu đặc trưng của khuôn mặt. Nhưng các nghiên cứu của Bkis cho thấy, kẻ xấu hoàn toàn có thể tái tạo được bộ nhận diện giả để vượt qua hàng rào xác thực.
"Trong quá trình nghiên cứu thuật toán nhận diện khuôn mặt được sử dụng trong laptop của 3 nhà sản xuất, chúng tôi đã phát hiện ra điểm yếu của thuật toán này. Đây chính là lỗ hổng để có thể tái tạo bộ nhận diện", ông Đức nhận định.
Trung tâm Bkis khẳng định có ít nhất 4 kịch bản mà kẻ xấu có thể sử dụng để khai thác điểm yếu này: Chat webcam lừa lấy được ảnh của nạn nhân (bằng MSN, Yahoo Messenger, AOL, Skype…); Tìm kiếm trên Internet, đặc biệt là các website mạng xã hội (Flickr, Yahoo360, Facebook…); Sử dụng máy ảnh với ống kính tele chụp trộm từ khoảng cách xa; Rủ nạn nhân cùng chụp ảnh…
Kịch bản dễ thực hiện nhất là lừa chat webcam để chụp hàng loạt ảnh. Sau đó, tổng hợp các ảnh này và xử lý theo thuật toán. Ảnh sau khi xử lý được in ra giấy bằng máy in màu. Kẻ xấu có thể dùng bức ảnh này dễ dàng đăng nhập máy tính mục tiêu.
Ngày 2/12 tại Hà Nội, Bkis đã có buổi họp báo quốc tế công bố kết quả nghiên cứu về lỗ hổng này với sự có mặt của hơn 60 phóng viên trong nước và nước ngoài. Tại đây, chuyên gia Nguyễn Minh Đức đã lần lượt tiến hành các thử nghiệm trực tiếp trên cả 3 máy tính Asus, Lenovo và Toshiba, cơ chế nhận diện mặt dễ dàng bị vượt qua. Tất cả các laptop này đều bị đánh lừa bởi bức ảnh của chủ nhân (sau khi đã được các chuyên gia xử lý theo thuật toán) và cho phép chuyên gia của Bkis đăng nhập thành công. Thậm chí, máy Lenovo chấp nhận cả ảnh xám chứ không nhất thiết phải ảnh màu.
Tạo mật khẩu bằng khuôn mặt với phần mềm Veriface III. Ảnh: Cnet
Một phóng viên của Cnet, trang báo công nghệ uy tín nhất thế giới có trụ sở tại Mỹ, cũng đã tự mình tham gia thử nghiệm khai thác lỗ hổng ngay tại buổi công bố kết quả nghiên cứu của Bkis. Phóng viên này đã cho máy Lenovo Y430 nhận diện khuôn mặt của mình. Sau đó, một chuyên gia của Bkis chat video với phóng viên bằng công cụ Skype. Trong lúc "tán gẫu" qua mạng, chuyên gia Bkis bí mật chụp lại khuôn mặt của phóng viên qua webcam, xử lý những bức ảnh này và in ra một tờ giấy. Dùng tờ giấy có in ảnh của phóng viên vừa lấy được, chuyên gia Bkis đăng nhập vào laptop Lenovo Y430 không chút khó khăn.
Với ưu điểm tiện lợi và được quảng cáo như một tính năng có độ chính xác gần như tuyệt đối nhằm ngăn chặn những người sử dụng trái phép tiếp cận máy tính, công nghệ nhận dạng khuôn mặt đang rất được ưa chuộng và ngày càng có nhiều người sử dụng. Xuyên thủng được vòng bảo vệ này, kẻ xấu sẽ kiểm soát hoàn toàn máy tính nạn nhân, hậu quả rất khó lường.
Trung tâm An ninh mạng Bkis đã gửi cảnh báo về lỗ hổng tới Asus tại Đài Loan, Lenovo tại Mỹ, Toshiba tại Mỹ và đại diện các hãng ở Việt Nam để họ khắc phục những hạn chế của tính năng này.
| Cùng với nhận dạng vân tay và nhận dạng giọng nói, nhận dạng khuôn mặt (Face Recognition) là công nghệ sinh trắc học đang được sử dụng phổ biến hiện nay. Ứng dụng của nhận dạng khuôn mặt rất đa dạng trong nhiều lĩnh vực như: nhận diện trong điều tra an ninh, nhận diện nụ cười trong công nghệ máy ảnh, xác thực (authentication) trong lĩnh vực kiểm soát truy nhập vào hệ thống… |
Các bài liên quan:
Báo Nhân dân: "Phủ nhận" công nghệ nhận dạng khuôn mặt, Bkis qua mặt Asus, Lenovo, Toshiba
Báo Ictnews: Bkis "xuyên thủng" công nghệ bảo mật laptopBáo Đất Việt: Công bố lỗi bảo mật của ba hãng máy tính lớn