อีกครั้ง! ระบบจดจำใบหน้าของ Window 10 สามารถใช้รูปภาพแทนได้

นักวิจัยจาก SySS  GmbH บริษัทที่ให้บริการทดสอบเจาะระบบจากเยอรมันพบว่าฟีเจอร์ Window Hello ที่ใช้เพื่อพิสูจน์ตัวตนใน Window 10 มีข้อบกพร่องโดยสามารถใช้เพียงรูปคุณภาพต่ำแทนหน้าคนจริงได้ นี่ไม่ใช่ครั้งแรกเพราะเมื่อต้นเดือนที่ผ่านมา Window 10 ก็ได้แพตซ์ช่องโหว่ลักษณะนี้ไปแล้วครั้งหนึ่ง

ฟีเจอร์ Window Hello ได้อาศัยการตรวจจับภาพที่ใกล้เคียงกับช่วงคลื่นอินฟราเรด (infrared imaging) เพื่อพิสูจน์ตัวตนผู้ใช้ก่อนปลดล็อกเข้าเครื่อง สิ่งที่นักวิจัยทำทดลองคือใช้เลเซอร์สีปริ้นภาพหน้าผู้ใช้ที่มีความละเอียดต่ำเพียง 340×340 พิกเซลออกมา หลังจากนั้นก็แก้ไขรูปให้มีความใกล้เคียงกับช่วงคลื่นอินฟราเรด ผลปรากฏว่าสามารถทะลุผ่านระบบ Windows Hello ในหลายอุปกรณ์ที่ใช้ Windows ได้ นอกจากนี้แม้ว่าจะเปิดฟีเจอร์ที่ช่วยเพิ่มประสิทธิภาพให้ Window Hello อย่าง ‘Enhanced anti-spoofing’ แล้วยังคงสามารถใช้วิธีการนี้ได้ นักวิจัยกล่าวพวกเขาต้องใช้ภาพความละเอียดมากกว่า 480×480 พิกเซล จึงจะไม่ทะลุการป้องกันของ Window Hello ที่เปิดฟีเจอร์ anti-spoofing

อย่างไรก็ตาม Microsoft ได้ออกแพตซ์ Windows 10 แล้วสำหรับเวอร์ชัน 1703 และ 1709 แต่ยังไม่มีสำหรับของเวอร์ชัน16xx นักวิจัยแนะนำให้ผู้ใช้อัปเดต Windows เป็นแพตซ์ล่าสุดของเวอร์ชัน 1709 พร้อมทั้งเปิดฟีเจอร์ ‘Enhanced anti-spoofing’ และตั้งค่าการพิสูจน์ตัวตนของ Window Hello ใหม่ เนื่องจากหากไม่ตั้งค่าใหม่การอัปเดตพร้อมเปิดฟีเจอร์ anti-spoofing ก็ยังป้องกันไม่ได้อยู่ดี สามารถติดตามวีดีโอแสดงวิธีการดังกล่าวได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/microsoft/windows-10-facial-recognition-feature-can-be-bypassed-with-a-photo/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้