นักวิจัยพบช่องโหว่ระบบยืนยันตัวตนก่อนเข้าใช้งานของ Windows Hello

0

Microsoft ได้ออกแบบ Windows Hello ให้ใช้งานผ่านเว็บแคมของแบรนด์ต่าง ๆ ได้ แต่ฟีเจอร์ที่ออกแบบมาให้ง่ายต่อการใช้งานนั้นก็ทำให้มีความเสี่ยงจากผู้ไม่หวังดี ดังที่นักวิจัยจาก CyberArk บริษัทด้านความมั่นคงปลอดภัย ได้หลอกระบบรู้จำใบหน้าของ Hello โดยใช้รูปภาพใบหน้าของเจ้าของเครื่องในการล็อกอินเข้าเครื่อง

Windows Hello ต้องใช้กล้องที่มีทั้ง RGB และเซนเซอร์อินฟราเรด แต่เมื่อทดสอบกับระบบยืนยันตัวตนก่อนเข้าใช้งานแล้ว นักวิจัยพบว่า ระบบประมวลผลเฉพาะเฟรมอินฟราเรดเท่านั้น โดยนักวิจัยได้สร้างอุปกรณ์ USB ที่มีภาพอินฟราเรดของผู้ใช้งานและภาพ RGB ของตัวการ์ตูน Spongebob ซึ่งระบบ Hello นั้นรู้จักอุปกรณ์ว่าเป็นกล้อง USB และปลดล็อกเข้าใช้งานได้ด้วยรูป IR ของผู้ใช้งาน 

Bypassing Windows Hello Without Masks or Plastic Surgery

นอกจากนี้ นักวิจัยยังพบว่า ไม่จำเป็นต้องใช้ภาพ IR หลาย ๆ รูป เพราะใช้แค่เฟรม IR เดียวที่มีเฟรมสีดำหนึ่งเฟรมก็สามารถปลดล็อกเข้า PC ที่ปกป้องด้วย Hello ได้แล้ว

บริษัทเทคโนโลยีต่าง ๆ จึงควรทำให้แน่ใจว่า เทคโนโลยีการยืนยันตัวตนมีความมั่นคงปลอดภัยเพียงพอหากต้องการพึ่งระบบ Biometrics มากขึ้นและเลี่ยงการใช้พาสเวิร์ดเข้าล็อกอิน ทั้งนี้ Microsoft ได้ออกแพตช์ที่เรียกว่า “Hello Security Feature Bypass Vulnerability” และแนะนำให้เปิด “Windows Hello enhanced sign-in security” ที่เข้ารหัสข้อมูลใบหน้าผู้ใช้และเก็บไว้ในพื้นที่ที่ได้รับการปกป้อง