นักวิจัยจาก Cisco ทดสอบ Bypass ระบบสแกนลายนิ้วมือประสบความสำเร็จถึง 80%

ทีมนักวิจัยจาก Cisco Talos ได้ทดสอบระบบสแกนลายนิ้วมือต่างๆ ผลลัพธ์พบว่าทีมงานสามารถลัดผ่านการป้องกันได้สำเร็จถึง 80%

การทดสอบคือนักวิจัยได้เข้าเก็บลายนิ้วมือจากเจ้าของอุปกรณ์โดยตรงหรือผ่านวัตถุที่ทิ้งไว้ จากนั้นใช้เครื่องพิมพ์ 3 มิติสร้างแบบของลายนิ้วมือราคาถูกเพื่อให้เป็นไปได้ในความจริง (ชมได้จากวีดีโอสาธิต) โดยทีมนักวิจัยได้สร้างลายนิ้วมือมาหลอกเซ็นเซอร์ลายนิ้วมือทั้งแบบ Optic, Capacitive และ Ultrasonic ซี่งพบว่า Ultrasonic มีโอกาสสูงสุด ประเด็นก็คืออุปกรณ์สมัยใหม่นิยมใช้กันมากด้วย

ในกรณีของการทดสอบกับมือถือนักวิจัยสามารถผ่านการป้องกันของยี่ห้อดังๆ ได้หลายค่าย ในขณะที่ฝั่งแล็ปท็อปนักวิจัยสามารถลัดผ่านการป้องกันกับ MacBook Pro ได้ถึง 95% แต่ไม่ผ่านเลยกับอุปกรณ์ Windows 10 ที่ใช้ Hello Framework นอกจากนี้ยังมีการทดสอบกับพวก USB Thumb drive ที่ป้องกันด้วยลายนิ้วมือ เช่น Verbatim และ Lexar แต่ก็ไม่สำเร็จ แต่ถ้าเป็น Padlock จะประสบความสำเร็จสูง

อย่างไรก็ดีการที่ล้มเหลวกับ Windows หรือ USB นักวิจัยยังไม่ได้สรุปว่าอุปกรณ์เหล่านั้นจะปลอดภัยแค่ว่าตนอาจจะยังหาวิธีไม่การที่เหมาะสมไม่ได้ แต่การใช้งานลายนิ้วมือป้องกันก็ยังดีกว่าไม่มีอะไรเลยกับผู้ใช้งานทั่วไป แต่ชัดเจนว่าไม่เหมาะกับบุคคลผู้มีชื่อเสียงหรือคนที่ตกเป็นเป้าหมายแบบเจาะจง

ที่มา :  https://www.securityweek.com/cisco-research-shows-high-success-rate-bypassing-fingerprint-authentication

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud เพิ่ม BigQuery datasets บน Marketplace แล้ว

Google Cloud ประกาศเปิดให้ผู้ใช้งานสามารถเข้าถึงชุดข้อมูล BigQuery datasets ผ่าน Google Cloud Marketplace ด้วยการผสานการทำงานร่วมกับ BigQuery Analytics Hub เพื่อเพิ่มช่องทางการเข้าถึงข้อมูลสำหรับองค์กร

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์