ปัจจุบันเทคโนโลยี Face Recognition เริ่มใช้กันอย่างแพร่หลาย บ่อยครั้งเราใช้ในการการยืนยันตัวตน เช่น NDID หรือในการปลดล็อคโทรศัพท์ ไม่ว่าจะ Android หรือ iOS รวมถึง ธนาคารแห่งประเทศไทย(ธปท.) ได้กำหนดให้ยืนยันตัวตนด้วย biometric ผ่านหน้า Face Recognition โดยกำหนด 3 ธุรกรรมที่ต้องยืนยันตัวตนคือ
- การโอนวงเงินเกิน 50,000 บาทต่อรายการ
- โอนวงเงินเกิน 200,000 บาทต่อวัน
- การปรับเพิ่มวงเงินเกิน 50,000 บาทต่อวัน
MAYASEVEN เป็นบริษัทที่ให้บริการ Penetration Testing (Pentest), Red Teaming ในการค้นหาช่องโหว่ของระบบ เพื่อทำการแก้ไขก่อนมิจฉาชีพใช้ประโยชน์จากช่องโหว่ในการสร้างความเสียหายให้กับองค์กรและผู้ใช้งาน เราจึงได้ทำการสร้างหน้ากากเสมือนจริงขึ้นมา เพื่อทำการทดสอบว่าสามารถ bypass Face Recognition ของ applications และอุปกรณ์ต่างๆได้มากน้อยแค่ไหน
เราได้ทำการทดลอง bypass ระบบ Face Recognition ในการยืนยันตัวตนก่อนเข้า office ผลปรากฏว่าสามารถ bypass ได้
จากนั้นเราได้ทำการทดสอบ applications ต่างๆที่ใช้ Face Recognition ในการยืนยันตัวตน เช่น ปลดล็อคโทรศัพท์และแอปธนาคารต่างๆ ผลปรากฏว่า applications และอุปกรณ์โดยส่วนใหญ่สามารถถูก bypass ได้ แม้ว่าจะให้ผู้ใช้ทำท่าทางต่างๆเช่น กะพริบตา ก็ยังสามารถ bypass ได้ แต่ทางเราขอไม่ลงรายละเอียดเทคนิคในการ bypass แต่ก็มี applications ที่สามารถตรวจจับได้ว่าไม่ใช่หน้าจริง สำหรับ mobile banking applications นั้น จากที่เราทดสอบแอปธนาคารชั้นนำ ส่วนใหญ่สามารถ bypass ได้ แต่ก็มีบางธนาคารที่สามารถตรวจจับได้ว่าไม่ใช่หน้าคนจริง แน่นอนว่าถ้า bypass ได้ก็จะสร้างความเสียหายให้ผู้ใช้ของระบบนั้นๆ เช่น bypass การยืนยันตัวตน หรือ bypass การทำธุรกรรมต่างๆ
สิ่งที่น่ากังวลคือรูปหน้าของเราพร้อมชื่อ มีปรากฏอยู่ตามสื่อ social ต่างๆ หรือแม้กระทั่งบุคคลสำคัญที่มีชื่อเสียง มิจฉาชีพอาจจะใช้รูปภาพเหล่านั้นในการสร้างหน้ากากปลอม มาสร้างความเสียหายได้ แต่ทั้งนี้ทั้งนั้นถ้าระบบ Face Recognition ถูกออกแบบมาอย่างดี ก็สามารถป้องกันได้ อย่างเช่น แอปของบางธนาคารก็สามารถป้องกันได้
เพื่อให้แน่ใจว่าแอปพลิเคชันขององค์กร สามารถให้บริการได้อย่างปลอดภัย ควรมีการทดสอบจากทีมงานผู้มีความเชี่ยวชาญและมีอุปกรณ์ที่เหมาะสมสำหรับการทดสอบ เพื่อลดความเสี่ยงที่จะเกิดความเสียหายต่อองค์กรและผู้ใช้บริการ