Tin tức An ninh & Công nghệ: Meta cài mã nhận diện khuôn mặt, Google chống lừa đảo AI và Anthropic hợp tác với NSA

Tin tức An ninh & Công nghệ tuần này đã mang đến nhiều sự kiện đáng chú ý, từ những lo ngại mới về quyền riêng tư trong thiết bị đeo (wearables) cho đến sự hợp tác giữa các công ty AI lớn và cơ quan an ninh quốc gia. Dưới đây là những điểm nhấn quan trọng nhất.

Meta cài mã nhận diện khuôn mặt "ngủ đông" trên hàng triệu điện thoại

WIRED đưa tin rằng Meta đã âm thầm cài đặt mã nhận diện khuôn mặt không hoạt động (dormant) lên hơn 50 triệu điện thoại thông qua ứng dụng đồng hành dành cho kính thông minh Ray-Ban và Oakley. Tính năng này có tên mã nội bộ là NameTag.

Nếu được kích hoạt, NameTag sẽ cho phép người đeo kính xác định danh tính những người đang đứng trước mặt bằng cách so khớp khuôn mặt đã chụp với thư viện sinh trắc học (biometric gallery) được lưu trữ trên thiết bị của người dùng. Điều này đáng chú ý vì Meta từng tuyên bố từ bỏ công nghệ này vào năm 2021 sau khi phải trả hàng tỷ USD để dàn xếp các vụ kiện về quyền riêng tư sinh trắc học tại Texas và Illinois.

Google ra mắt tính năng chống lừa đảo mạo danh AI trên Android

Google đã tung ra một tính năng mới trên Android nhằm đối phó với làn sóng lừa đảo mạo danh được hỗ trợ bởi AI. Những kẻ lừa đảo hiện nay có thể giả mạo số điện thoại quen thuộc và nhân bản giọng nói của nạn nhân.

Tính năng mới được tích hợp trong Google Dialer và sẽ xuất hiện trên các thiết bị chạy Android 12 trở lên. Nó hoạt động bằng cách gửi một "bắt tay mã hóa" (cryptographic handshake) âm thầm đến thiết bị của người gọi. Nếu cuộc gọi là giả mạo, Android sẽ cảnh báo người dùng và xóa ảnh liên hệ khỏi màn hình. Tuy nhiên, hạn chế lớn là tính năng này chỉ hoạt động khi cả hai đầu dây đều sử dụng Google Dialer, nghĩa là người dùng iPhone sẽ không được bảo vệ.

Hacker lợi dụng AI hỗ trợ của Meta để chiếm tài khoản Instagram

Kể từ khi Meta thông báo vào tháng 3 rằng việc hỗ trợ tài khoản sẽ ngày càng được tự động hóa bằng AI, các hacker đã tìm ra cách khai thác công cụ này. Theo báo cáo của 404 Media, tin tặc có thể lợi dụng tính năng hỗ trợ cập nhật mật khẩu để reset mật khẩu và chiếm đoạt tài khoản của những người dùng nổi tiếng.

Trong số các nạn nhân có cựu Tổng thống Barack Obama, Chuyên gia trưởng Không quân Mỹ và chuỗi mỹ phẩm Sephora. Meta cho biết vấn đề đã được khắc phục và các tài khoản bị ảnh hưởng đã được bảo vệ, nhưng sự việc này làm nổi bật rủi ro khi giao các chức năng bảo mật cho AI.

Anthropic hỗ trợ NSA thực hiện hacking tấn công

Công ty AI Anthropic đang gây tranh cãi khi hỗ trợ Cơ quan An ninh Quốc gia Mỹ (NSA) sử dụng công cụ Mythos của mình không chỉ cho mục đích phòng thủ mà còn cả tấn công. Mythos được biết đến với khả năng tìm ra các lỗ hổng phần mềm ẩn giấu với tốc độ đáng báo động.

Ban đầu, người ta cho rằng NSA chỉ sử dụng Mythos để tìm lỗi trong các phần mềm phổ biến nhằm bảo vệ người dùng Mỹ tốt hơn. Tuy nhiên, Financial Times xác nhận rằng Anthropic đang triển khai kỹ sư của mình đến NSA để giúp cơ quan này học cách sử dụng công cụ AI, bao gồm cả cho các hoạt động hacking tấn công.

Bí ẩn dữ liệu GPS của quân đội Mỹ được giải mã

Trong nhiều năm, các vệ tinh GPS đã phát đi những dữ liệu bí ẩn trong một phần ít được sử dụng của tín hiệu công cộng. Không ai biết chính xác mục đích của chúng cho đến nay.

Giáo sư Steven Murdoch từ Đại học College London đã công bố bằng chứng giải quyết bí ẩn này. Sau khi phân tích hàng triệu tín hiệu GPS lưu trữ gần hai thập kỷ, ông kết luận rằng các thông điệp này có khả năng là một phần của hệ thống mà quân đội Mỹ sử dụng để phân phối khóa mã hóa (cryptographic keys) cho các máy thu GPS quân sự trên toàn thế giới, được gọi là Over-the-Air Distribution (OTAD).

Một sự kiện nổi bật vào tháng 5 năm 2011, khi hầu hết mọi vệ tinh GPS hoạt động đều đột ngột chuyển sang phát đi một thông điệp giữ chỗ trước khi chuyển sang mẫu mới, đã trùng khớp với thời điểm triển khai hệ thống OTAD.

Các tin tức công nghệ khác

• Tấn kênh bên FROST: Các nhà nghiên cứu đã chi tiết một cuộc tấn kênh bên (side-channel attack) mới trên trình duyệt tên là FROST. Nó nhận dạng các tab khác hoặc ứng dụng trên thiết bị bằng cách đo thời gian đọc từ một tập tin trên SSD. Cuộc tấn công sử dụng mạng nơ-ron để phân tích dấu vân tay I/O của phần mềm.
• xA và kiện tụng Deepfake: xAI đang yêu cầu một thẩm phán liên bang buộc bốn nguyên đơn trong vụ kiện liên quan đến ảnh nude giả (deepfake) do Grok tạo ra phải tiết lộ danh tính thật. Các nguyên đơn lo ngại về việc bị quấy rối và doxxing từ những người ủng hộ Elon Musk.
• Phòng thí nghiệm Peptide và tiền ảo: Chainalysis báo cáo rằng các phòng thí nghiệm peptide tại Trung Quốc, một số trước đây từng bán tiền chất fentanyl, hiện đang chuyển sang sản xuất peptide. Sự chuyển dịch này nhằm tận dụng làn sóng "looksmaxing" trên mạng xã hội và tránh sự đàn áp của pháp luật đối với các nhà sản xuất opioid, với giao dịch được tài trợ bởi tiền điện tử.