Bkis công bố lỗ hổng trong công nghệ nhận dạng khuôn mặt của Laptop

14:34 | 03/07/2009 | LỖ HỔNG ATTT
Sau một thời gian nghiên cứu công nghệ nhận dạng khuôn mặt ứng dụng trên laptop, Trung tâm An ninh mạng Bkis nhận định: tính năng bảo vệ laptop bằng công nghệ của ba hãng sản xuất Asus, Lenovo, Toshiba đều không đảm bảo an ninh.

Công nghệ nhận dạng khuôn mặt được Asus, Lenovo và Toshiba cung cấp sẵn trong bộ phần mềm chuyên dụng đi kèm máy và đưa vào tất cả các dòng laptop có webcam, hỗ trợ hệ điều hành Windows Vista. Người sử dụng, thay vì phải gõ mật khẩu hoặc xác thực bằng vân tay, chỉ cần ngồi trước máy tính là có thể đăng nhập được.



Công nghệ này được các hãng giới thiệu là một tính năng nổi trội, giúp ngăn chặn tiếp cận máy tính trái phép, đảm bảo an toàn thông tin cho người sử dụng hợp pháp.
Tuy nhiên, các nghiên cứu cho thấy: tính năng xác thực bằng nhận dạng khuôn mặt của cả 3 hãng sản xuất laptop đều có thể bị vượt qua, mặc dù được thiết lập ở mức an ninh cao nhất. Bkis khuyến cáo người sử dụng  trong thời gian chờ đợi các nhà sản xuất laptop tìm cách sửa chữa lỗ hổng, không nên sử dụng tính năng nhận diện khuôn mặt cho việc đăng nhập vào máy tính.
Để áp dụng công nghệ này, người sử dụng phải để webcam chụp cận khuôn mặt mình với nhiều góc độ khác nhau. Việc này giúp máy tính “học thuộc” đặc điểm khuôn mặt “chủ nhân” và xây dựng dấu hiệu đặc trưng của khuôn mặt. Nhưng các nghiên cứu của Bkis cho thấy, kẻ xấu hoàn toàn có thể tái tạo được bộ nhận diện giả để vượt qua hàng rào xác thực. Các điểm yếu của thuật toán nhận diện khuôn mặt được sử dụng trong laptop của 3 nhà sản xuất chính là lỗ hổng để có thể tái tạo bộ nhận diện.
Có ít nhất 4 kịch bản mà kẻ xấu có thể sử dụng để khai thác điểm yếu này: chat webcam lừa lấy được ảnh của nạn nhân (bằng MSN, Yahoo Messenger, AOL, Skype…); tìm kiếm trên Internet, đặc biệt là các website mạng xã hội (Flickr, Yahoo360, Facebook…); sử dụng máy ảnh với ống kính chụp trộm từ khoảng cách xa; rủ nạn nhân cùng chụp ảnh…
Kịch bản dễ thực hiện nhất là lừa chat webcam để chụp hàng loạt ảnh. Sau đó, tổng hợp các ảnh này và xử lý theo thuật toán. Ảnh sau khi xử lý được in ra giấy bằng máy in màu. Kẻ xấu có thể dùng bức ảnh này dễ dàng đăng nhập máy tính mục tiêu. Thậm chí, máy Lenovo chấp nhận cả ảnh xám chứ không nhất thiết phải ảnh màu. 
Với ưu điểm tiện lợi và được quảng cáo như một tính năng có độ chính xác cao nhằm ngăn chặn những người sử dụng trái phép tiếp cận máy tính, công nghệ nhận dạng khuôn mặt đang rất được ưa chuộng và ngày càng có nhiều người sử dụng. Xuyên thủng được vòng bảo vệ này, kẻ xấu sẽ kiểm soát hoàn toàn máy tính nạn nhân, hậu quả rất tai hại.
Trung tâm An ninh mạng Bkis đã gửi cảnh báo về lỗ hổng tới các tổ chức liên quan để họ khắc phục những hạn chế của tính năng này.
Sự kiện các chuyên gia trong nước nghiên cứu và công bố lỗ hổng trong công nghệ nhận dạng ứng dụng trên máy tính xách tay tại Black Hat đã khẳng định những tiến bộ trong nghiên cứu an ninh mạng của các chuyên gia Việt Nam.

Tin cùng chuyên mục

Tin mới