Windows Hello เป็นหนึ่งในขั้นตอนการยืนยันตัวตนของ Windows ทำให้ผู้ใช้ไม่ต้องใส่รหัสผ่าน ไม่ว่าจะเป็นการสแกนหน้า สแกนนิ้วมือหรืออื่น ๆ ครับ และวิธีที่คนนิยมใช้กันมาก ก็คือการแสกนหน้าหรือสแกนนิ้ว เพราะมันสะดวกดี
.
แต่ตอนนี้นักวิจัยจาก CyberArk ค้นพบช่องโหว่ของ Windows Hello ที่เป็นการสแกนใบหน้า โดยสามารถใช้ภาพอินฟราเรดเพื่อหลอกระบบและทำแฮกเกอร์สามารถเข้าใช้งานเครื่องนั้นได้
.
โดยปกติแล้ว กระบวนการจดจำใบหน้าต้องใช้กล้องที่มีทั้ง RGB Sensor และ infrared sensor ในการ Access เข้าระบบ แต่ Windows Hello เหมือนจะเรียกงานการตรวจสอบความถูกต้องจากแค่ infrared sensor เท่านั้น
.
แต่กระบวนการตรวจสอบ ถึงแม้ Windows Hello จะเรียกใช้แค่ infrared sensor แต่หากจะ Access ให้สำเร็จจะต้องใช้ภาพอะไรก็ได้ 1 ภาพ เพื่อหลอก RGB Sensor ให้ผ่านกระบวนการทั้งสองขั้นตอน เป็นอันสำเร็จครับ
.
วิธีในการแฮกก็คือ CyberArk ใช้วิธีสร้างรูปภาพใบหน้าของเป้าหมายขึ้นมา พร้อม ๆ กับภาพอะไรก็ได้ 1ภาพ โดย CyberArk เลือกภาพเป็น SpongeBob แล้วใส่ไปในอุปกรณ์ USB ที่พวกเขาสร้างขึ้น จากนั้นเสียบเข้าในเครื่องของเหยื่อเพื่ออัปโหลดภาพทั้งสองภาพไปยังโฮสเพื่อตรวจสอบ ปรากฎว่าสามารถ Access ผ่านระบบได้ครับ
.
ทั้งนี้ ข้อบกพร่องเหล่านี้อาจทำให้เกิดปัญหาร้ายแรงสำหรับผู้ใช้ Windows Hello เพราะตอนนี้คนใช้ Windows 10 ถือเป็นกลุ่มผู้ใช้ที่ใหญ่ที่สุดครับ และตอนนี้ Microsoft ได้ออกแพทซ์แก้ไขช่องโหว่นี้แล้วไปตั้งแต่วันที่ 13 กรกฏาคมที่ผ่านมา CyberArk จึงออกมาเปิดเผยเรื่องดังกล่าวแล้ว
.
หากใครสงสัยว่าทำไม CyberArk ถึงเผยเรื่องนี้ หลังจากที่ Microsoft แก้ไขแพทซ์แล้ว อันนี้เหมือนจะเป็นกฎหมายนะครับ ว่าหากบริษัทใดพบช่องโหว่ ให้แจ้งต่อผู้พัฒนาให้แก้ไขในระยะเวลาที่กำหนดก่อน แต่หากแก้ไขแล้ว หรือ ยังไม่แก้ไขในเวลาที่กำหนด ก็สามารถให้เปิดเผยต่อสื่อได้ครับ
.
ที่มาข้อมูล
https://sea.pcmag.com/security/44881/hackers-tricked-windows-hello-with-a-single-infrared-image
