Tag Archives: ข้อมูลส่วนบุคคล

ผู้เชี่ยวชาญด้านความปลอดภัยพบวิธีหลอก Face ID ด้วยแว่น และเทปกาว

Black Hat 2019 เป็นงานประชุมวิชาการของเหล่าแฮกเกอร์ ที่เหล่าผู้เชี่ยวชาญด้านความปลอดภัยจะมาแลกเปลี่ยนความรู้กัน และยังมีสาธิตแสดงช่องโหว่ที่ถูกค้นพบในระบบต่างๆ ให้ได้ชมกันอีกด้วย Zhuo Ma ผู้เชี่ยวชาญด้านความปลอดภัยจาก Tencent Security ก็ได้ใช้งานนี้ในการสาธิตวิธีหลอก Face ID ระบบรักษาความปลอดภัยของ Apple โดยอาศัยแค่เพียงแว่นตา และเทปกาว ดย Zhuo Ma ได้ใช้ประโยชน์จาก “Liveness” คุณสมบัติในการตรวจสอบของ Face ID ที่จะวิเคราะห์สัญญาณรบกวนของฉากหลัง, จุดโฟกัส และข้อมูลในด้านอื่นๆ เพื่อวิเคราะห์ว่าสิ่งที่กำลังถูกสแกนด้วย Face ID นั้น ไม่ใช่โมเดล 3 มิติ หรือแค่รูปถ่าย ซึ่งการทำงานของมันจะมีช่องโหว่เกิดขึ้นจากการที่ Face ID จะไม่ตรวจสอบข้อมูล 3 มิติ ในพื้นที่บริเวณรอบดวงตา หากมันพบว่าผู้ที่สแกนกำลังสวมใส่แว่นตาเอาไว้อยู่ ด้วยการอาศัยประโยชน์จากช่องโหว่ดังกล่าว Zhuo Ma ได้สร้างแว่นต้นแบบที่เขาตั้งชื่อให้มันว่า X-glasses ขึ้นมา ซึ่งมันเป็นแว่นที่มีเทปสีดำแปะอยู่บนเลนส์ และมีเทปสีขาวแปะอยู่ตรงกลาง เขาได้อธิบายว่า Liveness detection…

การยืนยันตัวตนด้วยลายนิ้วมือโดนแฮกได้ไหม ป้องกันอย่างไร

การยืนยันตัวตนด้วยลายนิ้วมือนั้น ถือเป็นการยืนยันตนที่ได้รับความนิยมอีกประเภทหนึ่ง ไม่ว่าจะใช้เพื่อยืนยันตนในการเข้าทำงาน การ Login เข้ามือถือ รวมไปถึงอุปกรณ์เครื่องใช้ไฟฟ้านิรภัยบางประเภท ต่างก็มีฟังก์ชันนี้ เพราะมีความสะดวกและรวดเร็ว ประกอบปัจจุบันเริ่มมีการยอมรับเทคโนโลยี Biometrics มากขึ้น ทำให้กลายเป็นสิ่งสำคัญที่ผู้ใช้นิยมเพื่อรักษาความปลอดภัยนั่นเอง แต่เมื่อมีเทคโนโลยีที่อำนวยความสะดวกเพิ่มขึ้น ย่อมมีกลวิธีการแฮกข้อมูลเพิ่มขึ้นเช่นกัน จนลืมนึกไปว่าข้อมูลลายนิ้วมือก็อาจถูกแฮกได้ แม้ว่ารหัสผ่านเมื่อโดนแฮก ยังสามารถที่จะเปลี่ยนรหัสผ่านได้ แต่ข้อมูลลายนิ้วมือหากโดนแฮก เราไม่สามารถเปลี่ยนลายนิ้วมือได้ ผู้ที่เลือกใช้การยืนยันตนด้วยวิธีนี้จึงควรรู้เท่าทันว่าแฮกเกอร์มีวิธีต่าง ๆ อย่างไรที่สามารถเจาะอุปกรณ์ที่ใช้การสแกนลายนิ้วมือนี้ได้ และมาดูกันว่า แฮกเกอร์สามารถสวมรอยนิ้วมือได้อย่างไร จนไปถึงวิธีป้องกันเพื่อรักษาความปลอดภัยของข้อมูลของเรา 1. การโจมตีโดยใช้ Masterprints การใช้ Masterprints ก็เหมือนกับการใช้กุญแจ Master ที่สามารถไขได้ทุกห้องในบ้าน โดยถูกสร้างมาจากข้อมูลพื้นฐานของลายนิ้วมือมนุษย์ทั่วไป ซึ่งปกติเครื่องสแกนลายนิ้วมือที่มีเสปกสูง ๆ จะเน้นความแม่นยำและ จะบล็อกการพยายามเข้าสู่ระบบด้วย Masterprints แต่อุปกรณ์ที่มีระบบสแกนลายนิ้วมือที่ไม่ซับซ้อนอย่าง อุปกรณ์มือถือทั่วไป ฯลฯ อาจเสี่ยงต่อการถูกโจมตีผ่าน Masterprints ได้ วิธีป้องกัน – หากเป็นไปได้ ควรเลือกใช้เครื่องสแกนลายนิ้วมือที่มีสเปกความแม่นยำสูง ๆ แนะนำให้ศึกษาสเปกชีทของเครื่อง ฯ ให้ดี โดยดูที่…

‘เฟสบุ๊ก’ ดักฟังและถอดเทปบทสนทนาของผู้ใช้แอพ ‘เมสเซนเจอร์’

ฐานข้อมูลระบบควบคุมประตูอิเล็กทรอนิกส์รั่วไหล ภาพลายนิ้วมือ, ภาพใบหน้า, รหัสผ่าน ของผู้ใช้นับล้านหลุด

นักวิจัยจากบริษัท vpnmentor ในอิสราเอลรายงานถึงฐานข้อมูล Elasticsearch ของบริษัท Suprema ที่ให้บริการควบคุมการเข้าอาคารและลงเวลาทำงานรั่วไหล โดยนักวิจัยสามารถเข้าถึงข้อมูลได้จากอินเทอร์เน็ต บริการนี้ชื่อว่า Biostar 2 เป็นระบบลงเวลาที่ให้บริการ 1.5 ล้านจุดจาก 5,700 องค์กรใน 83 ประเทศทั่วโลก รวมข้อมูลที่นักวิจัยพบทั้งหมด 27.8 ล้านรายการ ข้อมูลเกือบทั้งหมดไม่มีการเข้ารหัสหรือแฮช ทำให้ผู้ที่เข้าถึงจะได้ ภาพลายนิ้วมือ, ภาพใบหน้า, ชื่อผู้ใช้, รหัสผ่านที่ไม่ได้เข้ารหัส, ระดับสิทธิ์การเข้าอาคาร, ข้อมูลส่วนตัว, และประวัติการใช้งาน ลูกค้าของ Suprema นั้นมีตั้งแต่ธนาคาร, ตำรวจสหราชอาณาจักร, co-working space, ไปจนถึงยิม ทางนักวิจัยติดต่อ Suprema หลายครั้งแต่ไม่ได้รับการตอบกลับ อย่างไรก็ดีช่องโหว่ถูกปิดไปเมื่อวันพุธที่ผ่านมา ข้อมูลชีวมาตรอย่างลายนิ้วมือหรือใบหน้านั้นแม้จะเป็นข้อมูลที่สะดวกต่อการยืนยันตัวตน แต่เป็นข้อมูลที่เปลี่ยนแปลงไม่ได้ เมื่อข้อมูลภาพลายนิ้วมือหลุดออกไป คนร้ายสามารถนำภาพไปสร้างลายนิ้วมือเทียมเพื่อยืนยันตัวตน ปลดล็อกโทรศัพท์และอุปกรณ์อื่นโดยผู้เสียหายไม่สามารถเปลี่ยนแปลงแก้ไขใดๆ ได้ตลอดชีวิต —————————————————— ที่มา : Blognone / 15 August 2019…

แอพฯ ดัดแปลงใบหน้า ‘FaceApp’ สร้างความกังวล เรื่องความเป็นส่วนตัวของผู้ใช้

ช่วงนี้เราน่าจะได้เห็นหลายๆ คนแชร์รูปภาพตัวเองที่ถูกดัดแปลงโดยแอพฯ ที่เรียกๆ กันว่าแอพฯ หน้าแก่ เต็มฟีดไปหมด ดูเผินๆ มันก็คงจะไม่มีอะไร เล่นขำๆ อะเนอะ แต่สื่อนอกหลายแห่ง ได้ออกมาแสดงความกังวลถึงความเป็นส่วนตัวของผู้ใช้งาน ว่าทางผู้สร้างแอพฯ จะเอาข้อมูลของเราไปทำอะไรหรือเปล่า แอพฯ นี้ชื่อว่า ‘FaceApp’ กำลังเป็นที่นิยมทั่วโลก ติดชาร์ตในหลายๆ สโตร์บนสมาร์ตโฟน ฟังก์ชั่นหลักๆ ก็คือการใช้ AI ดัดแปลงใบหน้าในรูปภาพของผู้ใช้งาน ให้เห็นว่าตอนแก่หรือตอนยังวัยรุ่น หน้าตาของเราจะเป็นอย่างไร การใช้งานก็ปกติเลย กดเลือกรูปที่อยากให้แอพฯ ดัดแปลง จากนั้นรูปนั้นก็จะถูกอัพขึ้นไปในระบบเพื่อตกแต่งตามที่เราต้องการ แต่ก็เกิดความกังวลขึ้นมาว่าแอพฯ นี้จะสามารถเข้าถึงรูปทั้งหมดในเครื่องเราได้หรือไม่ ซึ่งจากการตรวจสอบแล้ว ไม่มีหลักฐานในเรื่องนี้แต่อย่างใด หากจะพูดถึงเรื่องการเข้าถึงข้อมูลผู้ใช้งาน มีผู้พบรายละเอียดในหน้าข้อตกลงของทางแอพฯ ระบุไว้ว่าพวกเขาจะสามารถนำรูป ยูเซอร์เนม หรือชื่อจริงของเรา ไปใช้ทำอะไรก็ได้โดยไม่ต้องขอก่อน ซึ่งพอมาดูดีๆ แล้ว ก็แทบไม่ต่างจากแอพฯ อื่นๆ เท่าไหร่นัก แต่ก็ทำให้ผู้คนตระหนักถึงเรื่องการรักษาความเป็นส่วนตัวมากขึ้น อีกประเด็นที่ถูกพูดถึงไม่แพ้กัน คือแอพฯ นี้ถูกพัฒนาโดยชาวรัสเซีย เป็นปัจจัยสำคัญที่ทำให้ผู้คนเกิดความวิตกกังวล จนคณะกรรมการแห่งชาติของพรรคเดโมแครตในสหรัฐฯ ต้องออกมาประกาศเตือนไม่ให้ผู้ลงสมัครเลือกตั้งประธานาธิบดีในปี 2020 ใช้แอพฯ นี้…

จีนแอบใส่แอปฯ ลับในมือถือนักท่องเที่ยว เก็บข้อมูลส่วนบุคคล-ข้อความ-ประวัติการโทร เฝ้าระวังข้อมูลที่อาจเป็นปัญหา

การท่องเที่ยวในจีนอาจไม่ปลอดภัยอีกต่อไป เมื่อทางการจีนแอบติดตั้งซอฟต์แวร์บางตัวลงในโทรศัพท์มือถือของนักท่องเที่ยว กระบวนการแทรกแซงทางข้อมูลของตำรวจตรวจคนเข้าเมืองของประเทศจีนนี้ถูกเปิดเผยออกมา เมื่อนักท่องเที่ยวเปิดเผยร่องรอยของซอฟต์แวร์ที่หลงเหลือในโทรศัพท์ของเขากับสื่อ ก่อนทีมสืบสวนของสำนักข่าวเดอะการ์เดียนและพันธมิตรระหว่างประเทศจะร่วมกันติดตามกรณีล่วงละเมิดสิทธิมนุษยชนครั้งนี้และพบว่าตำรวจตรวจคนเข้าเมืองของจีนจะแอบติดตั้งแอปพลิเคชันบางอย่างในโทรศัพท์ของนักเดินทางที่เดินทางเข้าสู่เขตปกครองตนเองซินเจียงอุยกูร์ผ่านทางประเทศคีร์กีซสถาน นอกจากนั้น นักท่องเที่ยวหลายรายยังเปิดเผยว่าเจ้าหน้าที่ของทางการจีนจะขอให้นักท่องเที่ยวส่งมือถือพร้อมรหัสสำหรับเข้าใช้งานให้กับเจ้าหน้าที่ ก่อนจะนำโทรศัพท์หายเข้าไปในห้องราว 1-2 ชั่วโมงและนำกลับออกมาให้ในภายหลัง ซึ่งจากการติดตามดูโทรศัพท์ส่วนมากจะถูกถอนการติดตั้งของแอปฯ ออกไปก่อนส่งคืน แต่ในบางครั้งนักท่องเที่ยวก็พบว่าแอปฯ ยังอยู่ในเครื่องของพวกเขา โดยแอปฯ ดังกล่าวจะทำหน้าที่ดาวน์โหลดข้อมูลส่วนบุคคลหลายอย่าง ทั้งข้อความ ข้อมูลติดต่อ และประวัติการใช้งานบางอย่างส่งกลับไปที่สำนักงานตรวจคนเข้าเมืองที่หน้าด่าน โดยเฉพาะผู้ที่เข้าเมืองผ่านทางเขตพรมแดน Irkeshtam ซึ่งอยู่สุดเขตตะวันตกของจีนที่มีการหลงเหลือของร่องรอยการติดตามในโทรศัพท์ของนักท่องเที่ยวเป็นประจำ ขณะเดียวกัน ยังไม่สามารถทราบได้ว่าข้อมูลดังกล่าวถูกดูดออกไปเพื่ออะไรและทางการจีนจะเก็บข้อมูลเหล่านั้นไว้นานแค่ไหน และแม้ว่าจะไม่พบหลักฐานการติดตามข้อมูลภายหลังจากการเดินทางผ่านข้ามแดน แต่ข้อมูลภายในเครื่องก็ยังสามารถใช้ในการติดตามค้นหาตัวตนของเจ้าของเครื่องได้ ทั้งนี้ จากการวิเคราะห์โดยสำนักข่าวเดอะการ์เดียน นักวิชาการ และผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ระบุว่า แอปฯ ดังกล่าวที่ถูกออกแบบโดยบริษัทในจีนจะค้นหาข้อมูลที่ทางการจีนคิดว่าเป็น “ปัญหา”  ซึ่งหมายรวมถึงคำศัพท์ต่างๆ ที่เกี่ยวข้องกับลัทธิหัวรุนแรง Islamist และคู่มือปฏิบัติการอาวุธ รวมถึงข้อมูลอื่นๆ อย่างการถือศีลอดในช่วงรอมฎอนจนถึงวรรณกรรมของดาไลลามะ และวงดนตรีเมทัลจากญี่ปุ่นชื่อ Unholy Grave โดยกระบวนการล่วงละเมิดนี้เป็นส่วนหนึ่งของความเข้มงวดที่จีนมีต่อเขตปกครองตนเองซินเจียง ซึ่งที่ผ่านมารัฐบาลจีนได้ควบคุมเสรีภาพในพื้นที่ดังกล่าวโดยการติดตั้งกล้องสำหรับจดจำใบหน้าประชากรมุสลิมทั่วท้องถนนและมัสยิด รวมถึงมีรายงานว่ามีการบังคับให้ประชาชนในพื้นที่ดาวน์โหลดซอฟต์แวร์เพื่อติดตามโทรศัพท์ของพวกเขา ด้าน Edin Omanović หนึ่งในกลุ่มรณรงค์ด้านความเป็นส่วนตัวระหว่างประเทศ เปิดเผยว่า “มันน่าตกใจมากที่เพียงแค่การดาวน์โหลดแอปฯ หรือบทความข่าวอาจทำให้ผู้คนต้องเข้าค่ายกักกัน” เช่นเดียวกับ Maya…