หลังจาก Samsung เพิ่งวางจำหน่าย Samsung Galaxy S5 มือถือเรือธงที่มีการกล่าวถึงมากที่สุดในขณะนี้ไปไม่นาน ก็มีคนลองของแฮ็กระบบสแกนลายนิ้วมือตัวใหม่ของเจ้า S5 และก็สามารถทำสำเร็จได้แบบง่ายๆ ด้วยวิธีการสุดแสนจะคลาสสิก “ลายนิ้วมือปลอม”
ข้อมูลนี้ถูกเปิดเผยออกมาโดยเว็บไซต์ H Security จากเยอรมัน โดยมีวิดีโอสาธิตการแฮ็กระบบสแกนลายนิ้วมือของ Samsung Galaxy S5 ถูกโพสต์ขึ้น Youtube ของ SRLabs ซึ่งวิธีการที่ SRLabs ใช้นั้นมาจากการสร้าง “ปลอกนิ้วมือปลอม” ขึ้นมาและมีลายนิ้วมือแปะอยู่บนปลอกนิ้วอันนั้น ซึ่งเป็นลายนิ้วมือใครก็ได้ แล้วก็เอามาสวมกับนิ้ว ทำการสแกนลายนิ้วมือไปตามปกติก็ผ่านได้สบายๆ แถมยังสามารถ ทำการจ่ายเงินผ่าน Paypal ที่ตั้งระบบสแกนลายนิ้วมือไว้ได้ด้วย
หากใครจำได้วิธีการนี้ก็เคยถูกใช้มาแล้วกับระบบ Touch ID ของ iPhone 5s และก็สามารถผ่านระบบ Touch ID ได้เช่นกัน แต่ถ้าเปรียบเทียบกันระบบ Touch ID ของ iPhone 5s ยังมีความปลอดภัยมากกว่า Galaxy S5 ตรงที่ Apple จะบังคับให้มีการใส่ password ในครั้งแรกของการเปิดใช้ระบบ Touch ID และจะบังคับให้ใส่ password อีกในแต่ละครั้งที่มีการ reboot เครื่อง ซึ่งสามารถป้องกันการใช้ลายนิ้วมือปลอมแบบนี้ได้ในครั้งแรก ในขณะที่ Samsung Galaxy S5 ไม่มีการบังคับแบบนี้ แม้แต่ตอนที่ reboot เครื่องก็ไม่มีเช่นกัน
เพื่อนสมาชิก droidsans คิดว่าไงกัน? ทำแล้วก็ต้องทำให้ดี? หรือ ไม่ได้สนใจไม่ได้คิดจะใช้อยู่แล้ว?
ระบบ สแกนลายนิ้วมือของ hTC One Max ถูกแฮกบ้างรึยังหนอ
นั่นสิครับ ไม่มีข่าวผ่านตาเลย แต่เดาว่า ได่เหมือนกัน
ขายได้น้อย ไม่คุ้มแฮก 😛
อันนี้จริง 55
ข้างบนที่เค้าทำ ก้อแทบไม่ได้ลงทุนเลยนะครับ
ผมว่ามันก็ปกตินี่ครับ ก็มันแสกนลายนิ้วมือ ถ้าทำลายนิ้วมือที่ตรงกันมาแปะได้ก็ผ่าน คืออ่านข่าวแล้วมันรู้สึกไม่เห็นจะแปลกอะไรเลย คนทำมันว่างเนอะ
ผมนึกถึงระบบแตะนิ้วตอกบัตรเข้าทำงานที่ออฟฟิศผมเลยครับ
เคยคิดเล่นๆว่าอยากทำลายนิ้วมือปลอมไว้ฝากเพื่อนแตะให้ เวลามาสาย 555+
ลองดูดีๆ ครับ เค้าตั้งระบบโดยใช้นิ้วชี้ แต่ตอนเอาปลอกนิ้วปลอมมาใส่ เค้าเอานิ้วโป้งแปะๆ ก่อนแล้วก็รูดนะ
@laruku แสดงว่าคุณเข้าใจผิดนิดนึงนะครับ
ในเว็บข่าวบอกว่า
"…the group was able to create a “dummy finger” using an actual fingerprint to gain unauthorized access to the phone."
แปลว่าเค้าใช้แผ่นยางที่ปั้มลายนิ้วมือนิ้วชี้ครับ
สังเกตตอนที่เอาแผ่นมาแปะนิ้ว ก่อนจะเอานิ้วโป้งกด มันมีลายนิ้วมือพิมพ์อยู่แล้วนะ เป็นลายนิ้วชี้น่ะแหละครับ
เค้าแค่เอานิ้วโป้งกดให้มันติดนิ้วเท่านั้นเอง
หลังจากที่ตั้งใจดูวิดีโอของ SRLabs ดีๆอีกครั้ง ปรากฏว่า ผมเข้าใจผิดจริงๆด้วยว่ามันเป็นลายนิ้วมือของนิ้วโป้ง แต่ปรากฏว่ามันเป็นของ "นิ้วกลาง" ครับ เพราะในวิดีโอเค้าบอกว่า เค้าเอาแผ่นที่เค้าทำตั้งแต่ตอนทดสอบ Touch ID ของ iPhone 5s เมื่อเดือนตุลาคมปีที่แล้ว มา reuse ใช้ทดสอบกับ Samsung Galaxy S5 เลยครับ ผมเลยตามไปดูวิดีโอนี้ปรากฎว่าเค้าทำแผ่นลายนิ้วมือจากนิ้วกลางมือขวาของเค้าเองครับส่วนข้อความภาษาอังกฤษที่คุณ Owlking ยกมานั้น ไม่มีการพูดถึงนิ้วชี้นะครับ แต่มันแปลได้ว่า "กลุ่มคนพวกนี้สามารถสร้าง นิ้วปลอม ขึ้นมาโดยใช้ลายนิ้วมือของจริง เพื่อเข้าใช้งานโทรศัพท์โดยไม่ได้รับอนุญาตได้"
ในบทความไม่มีที่ไหนเขียนว่า "ตั้งล้อคไว้นิ้วชี้ แต่ใช้นิ้วกลางปลอมปลดล้อคได้"
บอกแค่ว่า ใช้นิ้วปลอม สร้างจากรายนิ้วมือจริง actual finger ใช่ครับ มันแปลอย่างที่คุณบอกถูกแล้ว
แต่มันก็ไม่ได้แปลว่าใช้นิ้วไหนเลยเหมือนกัน index finger middle finger ไม่บอกเลย
ในคลิปพูดว่า "(อะไรสักอย่างที่แปลว่านิ้วปลอม)..made from a mold last october" ก็ไม่ได้บอกอีกว่าเป็นนิ้วกลาง แล้วไม่ใช่แผ่นเดียวกันด้วย จะเป็นแม่พิมพ์ mold นิ้วชี้ที่ทำไว้พร้อมนิ้วกลางเดือนตุลาก็ได้
คือถ้าจะบอกว่า นี่คือข้อผิดพลาดของซัมซุงว่า นิ้วชี้จริงปลดล้อคได้ นิ้วกลางจริงปลดล้อคไม่ได้ (เห็นมั้ยเค้าลองให้ดูทีนึงก่อนใช้ของปลอม)
แต่นิ้วกลางปลอมปลดล้อคแทนนิ้วชี้จริงได้เหรอครับ
ไม่เมคเซ้นส์แล้วก็ไม่มีส่วนใดในข่าวบอกแบบนั้นครับ
โอเคครับ ในเนื้อข่าวไม่ได้บอกว่านิ้วอะไร ผมอาจจะดูวิดีโอแล้วเข้าใจไปเอง เพราะดูต่อเนื่องกัน 2 คลิปแล้วมันเข้าเค้าน่ะครับ คือผมไม่อยากแปลจากข่าวตรงๆ อยากเขียนจากที่ตาเราเห็นหูเราฟังเองด้วย
เห็นในคลิปที่ทดสอบ iPhone 5s ทำจากนิ้วกลาง แล้วในคลิปทดสอบ Galaxy S5 บอกว่าเอาของเก่ามา reuse โดยไม่ได้ทำอะไรเพิ่มเลย (without any additional effort) ก็เลยทึกทักเองว่า เอาอันที่เป็นนิ้วกลางมาใช้เลย มันอาจจะเป็นไปได้ตามที่คุณ Owlking บอกว่า เค้าอาจจะทำของนิ้วชี้ไว้ด้วยแล้วเอามา reuse ก็ได้ครับ แล้วบังเอิญอีตานี่ดันเอานิ้วปลอมไปใส่นิ้วกลางตอนทดสอบด้วย เลยทำให้เชื่อไปใหญ่
ผมไม่ได้ตั้งใจจะอคติอะไรกับ Samsung เพราะผมก็ใช้อยู่ แต่ตั้งใจอยากให้เนื้อหาข่าวมันถูกต้องที่สุดน่ะครับ ถ้าผิดพลาดก็ขออภัย
ไม่เป็นไรนะครับ ผมเองก็ต้องขอโทษที่เถียงแรงๆไปหน่อย
คงต้องโทษเนื้อข่าวต้นเรื่องเองที่ไม่อธิบายให้ละเอียดพอครับ คือเค้าก็ไม่ได้บอกเหมือนกันว่าสร้างลายนิ้วปลอมจากนิ้วไหนเหมือนกัน
ผมเองก็ไม่มีอะไรยืนยันว่าผมถูก ขอโทษอีกครั้งครับ = =;;
แต่ผมก็เห็นด้วยครับว่าลายนิ้วมืออาจจะไม่ปลอดภัยเสมอไป เป็นการเตือนที่ดีว่า "ลายนิ้วมือ ทำปลอมได้นะ" ถึงมันจะไม่ง่ายก็เถอะ นะครับ
เหมือนในหนังสายลับเลยนะครับ ใช้ลายนิ้วมือที่ลอกมาทำลายนิ้วมือปลอม สแกนผ่านได้ (ที่จริงน่าจะได้กับทุกเครื่องสแกนนิ้วเลยนะ ถ้าสามารถหาลายนิ้วมือตัวจริงมาทำปลอมได้)
งั้นถ้าเครื่องถูกขโมย โจรต้องลอกลายนิ้วมือจากบนตัวเครื่องให้ได้สินะ ถึงจะมาทำแบบนี้ได้
โจรธรรมดาคงไม่ได้ทำได้ง่ายๆหรอกมั้งค่รับ…ไม่ใช่ Q ใน 007 กันนะ
แต่ถ้ามีรหัสตัวเลขแบบไอโฟนมาเสริมด้วยน่าจะอุ่นใจกว่าใช้แต่นิ้วเนอะครับ ซัมซุงอาจจะเล็งเห็นและแก้ไขก็ได้
สบายล่ะทีนี้ ต่อจากนี้ไม่ต้องแอบดูรหัสผ่านละ แค่ขโมยลายนิ้วมือเจ้าของเครื่องแค่นั้นเอง
แค่นั้นเอง!!
แค่นั้นเอง!!!!!! (เร๊อะ)
+1
คิดตามไปก็นะ การจะไปขอลายนิ้วมือคนอื่นเพื่อทำลายนิ้วมือปลอม เค้าจะยอมให้มั้ยอ่า
จริงๆ ก็น่าจะยังปลอดภัยแหล่ะ แถมในโทรศัพท์ไม่ได้มีข้อมูลถึงขั้นต้องตัดนิ้วเจ้าของ เหอๆๆๆๆ
ปลอดภัยๆ ไม่ต้องคิดมาก
สงสัยขโมยเครื่องเสร็จต้องบอกเจ้าของเครื่องว่า "อุ้ย น่ารักอะ ขอลายนิ้วมือเป็นที่ระลึกหน่อยได้มั้ย" 55555
การเก็บลายนิ้วนี้เค้าไม่ได้เก็บจากนิ้วจริงๆ นะครับ เก็บจากรอยที่เคยสัมผัส คือถ้าเครื่องหาย แล้วมีรอยนิ้วมือบนตัวเครื่องชัดพอก็มีโอกาสจะโดนลอกลายนิ้วมือไปสร้างปลอมได้ โอกาสมันก็ยาก แต่การทดลองนี้ก็เพื่อแสดงให้เห็นว่ามันยังมีช่องโหว่ ต้องระวัง
ไม่ได้ใช้ระบบ inner skin layer scan หรือนี่
เพราะระดับองค์กร ใช้ระบบ inner skin layer scan กับ Access Control กันแล้ว
อย่างนี้เก็บลายนิ้วมือจากเครื่อง แล้วทำปลอมโดยใช้ scanner กับ printer + หมึกพิเศษได้นะ
เหมือนที่เห็นในหนังแบบนั้นเลย
ลองอ่านดูกันนะครับ http://www.pdamobiz.com/show_news.asp?NewsID=753746&PN=1
เราต้องเป็นคนประเมิณเองว่าอยากจะ secure ขนาดไหน ถ้าsecureน้อยก็สะดวกมาก ถ้า secure มากก็สะดวกน้อย ผมว่าหลายๆท่านก็รู้อยู่แล้ว อย่าไปอินกับข่าวจนเอียงเลยครับ แค่เก็บเป็นความรู้ก็พอ ถ้าจะใช้ paypal แล้วต้องใส่ทั้ง passwordและscanลายนิ้วมือ แล้วจะเพิ่มมาเพื่ออะไร หรือจะบอกว่าต้องการ secure มากๆ ถ้างั้นต้องเพิ่ม lock เข้าไปหลายๆชั้นแล้วล่ะ(appleก็รู้ถึงไม่ใช้กับธุรกรรม)