คนสองหน้าล่าสองบัญชี เจาะทะลุ Face Recognition

ปัจจุบันเทคโนโลยี Face Recognition เริ่มใช้กันอย่างแพร่หลาย บ่อยครั้งเราใช้ในการการยืนยันตัวตน เช่น NDID หรือในการปลดล็อคโทรศัพท์ ไม่ว่าจะ Android หรือ iOS รวมถึง ธนาคารแห่งประเทศไทย(ธปท.) ได้กำหนดให้ยืนยันตัวตนด้วย biometric ผ่านหน้า Face Recognition โดยกำหนด 3 ธุรกรรมที่ต้องยืนยันตัวตนคือ

  1. การโอนวงเงินเกิน 50,000 บาทต่อรายการ
  2. โอนวงเงินเกิน 200,000 บาทต่อวัน
  3. การปรับเพิ่มวงเงินเกิน 50,000 บาทต่อวัน

MAYASEVEN เป็นบริษัทที่ให้บริการ Penetration Testing (Pentest), Red Teaming ในการค้นหาช่องโหว่ของระบบ เพื่อทำการแก้ไขก่อนมิจฉาชีพใช้ประโยชน์จากช่องโหว่ในการสร้างความเสียหายให้กับองค์กรและผู้ใช้งาน เราจึงได้ทำการสร้างหน้ากากเสมือนจริงขึ้นมา เพื่อทำการทดสอบว่าสามารถ bypass Face Recognition ของ applications และอุปกรณ์ต่างๆได้มากน้อยแค่ไหน

เราได้ทำการทดลอง bypass ระบบ Face Recognition ในการยืนยันตัวตนก่อนเข้า office ผลปรากฏว่าสามารถ bypass ได้

จากนั้นเราได้ทำการทดสอบ applications ต่างๆที่ใช้ Face Recognition ในการยืนยันตัวตน เช่น ปลดล็อคโทรศัพท์และแอปธนาคารต่างๆ ผลปรากฏว่า applications และอุปกรณ์โดยส่วนใหญ่สามารถถูก bypass ได้ แม้ว่าจะให้ผู้ใช้ทำท่าทางต่างๆเช่น กะพริบตา ก็ยังสามารถ bypass ได้ แต่ทางเราขอไม่ลงรายละเอียดเทคนิคในการ bypass แต่ก็มี applications ที่สามารถตรวจจับได้ว่าไม่ใช่หน้าจริง สำหรับ mobile banking applications นั้น จากที่เราทดสอบแอปธนาคารชั้นนำ ส่วนใหญ่สามารถ bypass ได้ แต่ก็มีบางธนาคารที่สามารถตรวจจับได้ว่าไม่ใช่หน้าคนจริง แน่นอนว่าถ้า bypass ได้ก็จะสร้างความเสียหายให้ผู้ใช้ของระบบนั้นๆ เช่น bypass การยืนยันตัวตน หรือ bypass การทำธุรกรรมต่างๆ

สิ่งที่น่ากังวลคือรูปหน้าของเราพร้อมชื่อ มีปรากฏอยู่ตามสื่อ social ต่างๆ หรือแม้กระทั่งบุคคลสำคัญที่มีชื่อเสียง มิจฉาชีพอาจจะใช้รูปภาพเหล่านั้นในการสร้างหน้ากากปลอม มาสร้างความเสียหายได้ แต่ทั้งนี้ทั้งนั้นถ้าระบบ Face Recognition ถูกออกแบบมาอย่างดี ก็สามารถป้องกันได้ อย่างเช่น แอปของบางธนาคารก็สามารถป้องกันได้

#image_title

เพื่อให้แน่ใจว่าแอปพลิเคชันขององค์กร สามารถให้บริการได้อย่างปลอดภัย ควรมีการทดสอบจากทีมงานผู้มีความเชี่ยวชาญและมีอุปกรณ์ที่เหมาะสมสำหรับการทดสอบ เพื่อลดความเสี่ยงที่จะเกิดความเสียหายต่อองค์กรและผู้ใช้บริการ

Previous Post
สรุป Keynote จาก Black Hat Asia 2023
Next Post
เล่าประสบการณ์แข่ง CTF ระดับโลก International Cybersecurity Championship 2023

Related Posts

No results found.

Leave a Reply

Your email address will not be published. Required fields are marked *

Fill out this field
Fill out this field
Please enter a valid email address.
You need to agree with the terms to proceed