Face ID กลายเป็นเป้าหมายใหม่ของนักวิจัยที่จะทดสอบความทนทานการถูกหลอก วันนี้ทีมวิจัยจาก Bkav บริษัทซอฟต์แวร์ความปลอดภัยเวียดนามก็แถลงความสำเร็จในการสร้างใบหน้าสามมิติหลอก Face ID
ทาง Bkav ระบุว่า Face ID อาศัยการจับใบหน้าสามมิติของโครงหน้าโดยรวม และประมวลผลบางจุดเป็นพิเศษเช่นรอบดวงตา, จมูก, และปาก ทีมงานพิมพ์โครงหน้าสามมิติ และอาศัยภาพสีสองมิติของจุดสำคัญมาแปะบนโครงหน้าเพื่อหลอก Face ID ได้ โดยจมูกนั้นต้องอาศัยช่างฝีมือสร้างขึ้นมาเฉพาะ
ต้นทุนของการสร้างใบหน้าหลอกอยู่ที่ 150 ดอลลาร์หรือ 5,000 บาท โดยการสแกนใบหน้าสามมิตินั้นทำได้ไม่ยากนัก โทรศัพท์เช่น Sony XZ1 มีสแกนเนอร์สามมิติในตัว หรืออาจจะใช้เครื่องสแกนระดับมืออาชีพก็ได้เช่นกัน
ตอนนี้ยังไม่มีรายงานนักวิจัยภายนอกทำซ้ำกระบวนการของ Bkav ได้
Get latest news from Blognone
Follow @twitterapi
Comments
ก็เอาหน้าไปให้เขาพิมพ์ จะเรียกว่าหลอกได้ยังไงครับ ก็ยังเป็นหน้าเจ้าของเครื่อง ยังไม่ผิดกติกา - นึกถึง MI เลย
คนดังหน่อยหาภาพหน้าใด้ง่ายกว่าภาพลายนิ้วมือเยอะนะครับ
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
ไอโฟนมันแสกนหน้า 3d ต้องจ้างนักปั้นมาปั้นหน้าจากภาพ 2d ให้เป็น 3d อีกสิ งานยากอยู่นะ
คอมพิวเตอร์มีครับ จะจ้างนักปั้นทำไม - -"
แค่ใช้รูปถ่ายหลายๆมุมมาส่งให้ ai ปั้นมันไม่เป๊ะขนาดนั้นน่ะสิ
+1
เพราะไม่ใช่ใบหน้าจริงๆ ของเจ้าของครับ
ของพวกนี้มันไม่ใช่ว่าต้องมีใครผิดเสมอไป แต่มันมี "ข้อจำกัด" ของมันอยู่ เราก็ควรรับรู้ข้อจำกัดครับว่ามันปลอมได้ภายใต้ต้นทุนเท่าไหร่ และเสี่ยงเกินไปหรือไม่ การที่คนขาย (แอปเปิล) มาบอกว่าความผิดพลาดหนึ่งในล้านอะไรแบบนั้นมันแปลว่าอะไร
กรณีนี้ถ้างานวิจัยเป็นจริง (สักพักน่าจะมีคนพยายามทำซ้ำ) ก็จะแปลว่าความปลอดภัยมีต้นทุนการปลอมแปลงเป็นเครื่องสแกนสามมิติสักเครื่องที่ราคาไม่กี่หมื่น กับค่าทำโมเดลห้าพันบาท
lewcpe.com, @wasonliw
ผมจำได้ว่าผมเคยเล่นเว็บนึง ที่อัพรูป 2D ของเราเข้าไป มันจะทำโมเดล 3D ของหน้าเราจากแสงเงาขึ้นมา ซึ่งค่อนข้างเหมือนตัวผมอยู่นะ (แปลว่าแค่มีภาพนิ่งหลายๆ ภาพหน่อยจะยิ่งแม่น)
Edit: ลองเล่นครับ http://cvl-demos.cs.nott.ac.uk/vrn/
May the Force Close be with you. || @nuttyi
แบบนี้ถ้ามีรูปหน้าของเจ้าของเครื่องเยอะพอ จะสามารถเอามาจำลองโครงหน้าแล้วพิมพ์ออกมาได้หรือเปล่าครับเนี่ย
ถ้ามีรูปหลายๆ มุม ผมว่าทำได้ครับ
นึกถึง Microsoft Photosynth ครับ จำลองได้แน่นอน
ไปขุดมันขึ้นมา (ของดีที่ MS ไม่รู้จะทำอย่างไรกับมัน เพิ่ม MS I.C.E. ไปด้วย)
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
และไม่ค่อยมีคนรู้จักซะด้วย ฮา
+1 I.C.E.
ลงทุนเยอะและยากกว่าหลอกเอาลายนิ้วมือแน่ๆอะ
อยู่กับความคุ้มค่าครับ ว่าจะได้อะไรกลับคืนมา
5000 ไม่แพงครับ
แล้วก็ง่ายกว่าลายนิ้วมืิอด้วย ด้วยการหาภาพหลาย ๆ มุม ที่เจ้าของนั่นเองเอาไปแปะตาม social
ลายนิ้วมือ คงหาในเฟส ig ไม่ได้มั้ง
ลายนิ้วมือเนี่ย ผมว่าหาเอารอบๆเครื่องนั่นแหละ ไม่ต้องเปิดเน็ตหาด้วยซ้ำ
ข้อ 2 นี่รอคนทำซ้ำชัวร์สุดครับ สักพักน่าจะมีคนลองของรัวๆ
lewcpe.com, @wasonliw
ข้อ 1 เขาคงคาดเดาว่า หลักการทำงานของ Face ID คือจะสแกนอวัยวะหลัก ได้แก่ ตำแหน่งของตา รูปร่างจมูกและปาก จากนั้นก็จะสแกนรายละเอียดปลีกย่อย เช่น ความโค้งเว้าลึกตื้น 3 มิติของใบหน้าอีกหลายๆ จุด เทียบกับภาพ 2 มิติ จึงจะวิเคราะห์ว่ามีสิทธิ์ปลดล็อคเครื่องหรือไม่
คือในความคิดผมสงสัยว่าแล้วทำไมมันถึงต้องเป็นซิลิโคนน่ะครับ
เขาอาจจะต้องการให้รูปร่างจมูกคล้ายของจริงที่สุดครับ ในคลิปจมูกของตาแว่นกับจมูกหุ่นคล้ายกันมาก ผมไม่ทราบว่าวิธีการทำจมูกให้สมจริงนั้นทำอย่างไร แต่จากการเดาคิดว่าเขาน่าจะเลือกใช้วิธีปั้นจมูกที่ง่ายที่สุดแล้ว ได้ออกมาเป็นซิลิโคนแบบนั้น
สงสัยเหมือนกัน ทำไมต้องซิลิโคนหว่า ใช้พลาสติกทั้งหมดแล้วทาสีให้เหมือนเอาไม่ได้รึ? จะว่าไปจมูกก็ไม่ได้สีเหมือนขนาดนั้นนะ
และไหนข่าวก่อน ๆ บอกว่าต้องจ้องไปที่มือถือด้วย ตกลงตาปลอมก็หลอกได้ด้วยรึ?
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ตาปลอมก็จ้องมือถือเหมือนกันไงครับ :p
เดาว่าสแกนหน้า 3มิติ ในส่วนของจมูกยังไม่ละเอียดพอเลยต้องให้ช่างฝีมือทำเป็นซิลิโคนขึ้นมาแทน
สรุปก็คือใช้ภาพหลอกได้เหมือนเดิมแต่ต้องเป็น 3มิติ นึกว่าจะสแกนตาละเอียดกว่านี้อีกนะเนี้ย เช่น อาจจะจับการเคลื่อนไหวของดวงตา หรือการขยาย/หดของม่านตา
ตั้งรหัสผ่านแบบเดายากจำอยู่ในสมองคนเดียวปลอดภัยกว่า หน้านี่มองเห็นง่าย คนที่จ้องจะ hack นี่เอาไปได้ง่ายกว่า
รหัสผ่านเปลี่ยนได้ง่ายๆ แต่หน้านี่จะให้เปลี่ยนคงยาก ลำบากแท้ถ้าโดนคนจ้องจะ hack
ตอนแรกมันก็เป็นแบบนั้นแหละครับ จนคนเนี้ยแหละที่อยู่ๆไม่อยากจำรหัสผ่านยาวๆยากๆ ก็เลยคิดเรื่องพวกนี้ขึ้น
สำหรับมือถือ คนทั่วไปใช้รหัสผ่านค่อนข้างอันตรายกว่ากันมากครับ จิ้มรหัสกันแค่ไม่กี่ตัวมองด้วยตาเปล่ายังรู้เลย advance มาหน่อยเจอกล้องถ่ายก็จบ advance ขั้นสุดเจอกล้องความเร็วสูงโอกาสหลุดก็สูงอยู่ดีถึงจะพยายามทั้งปิดทั้งหมุนไปด้วยตอนกรอกก็ตาม
+1 ยืนอยู่บนรถไฟฟ้านี่เห็นรหัสของหลายคนเลย
โจทย์คือมันไม่ใช่แค่ปลอดภัยครับ แต่มันต้องสะดวกด้วย คนใช้ทั่วๆไปไม่ได้สนใจเรื่องความปลอดภัยมากขนาดนั้น ไม่งั้นก็ใช้พาสเวิร์ดกันหมด (แล้วก็ต้องแอบๆกดด้วยถึงจะปลอดภัยจริงๆ) อย่างสแกนลายนิ้วมือนี่ที่มันฮิตจนกลายเป็นมาตรฐานเพราะมันอยู่ตรงกลางระหว่างสะดวกและปลอดภัย
ใช้โซนี่ เพื่อหลอกแอปเปิ้ล
จริงๆ น่าจะใช้อะไรก็ได้ที่ดึงภาพสามมิติออกมาได้ครับ (กรณี Face ID ไม่แน่ใจว่ามี API สำหรับดึงไหม)
อย่างพวกแท็บเล็ตที่เป็นกล้อง intel realsense ก็น่าจะได้หมด
lewcpe.com, @wasonliw
ผมว่า Sony ต้องเอาไปใส่ในพล็อตเจมส์บอนด์ภาคใหม่แล้วล่ะ
จะว่าไป iPhone X ไม่มีฟังก์ชันนี้เหรอครับ? (ถึงกล้องหน้าจะใช้ยากกว่ากล้องหลังก็เถอะ)
ไม่มีครับ เซ็นเซอร์สแกนไว้ใช้ใน Face ID กับ Animoji
ทำไมแม่กุญแจยังไม่ปลดล็อคเลย รีบ swipe ไปนิดนึงนะครับ ?
อย่างน้อยตัว Face ID ก็น่าจะทำงานจริงๆ นะครับ (ยิงอินฟราเรดออกมาจริงๆ) ก็คงแค่ swipe เร็วเกินไป (เพราะมองจอลำบาก) แสดงว่าถ้าจับจังหวะได้เราก็ไม่ต้องรอภาพบนหน้าจอมันปลดแม่กุญแจ?
มีความรู้สึกว่า ถ้าจะยืนยันว่าเป็นจริง น่าจะซูมให้เห็นว่าแม่กุญแจมันปลดล็อคแล้ว ค่อย swipe ขึ้นก็น่าจะเพิ่มความน่าเชื่อถือได้มากขึ้นครับ ?
คิดไปคิดมา face ID นี่ไม่เห็นจะว้าวตรงไหน - -* สแกนนิ้วมันก็สะดวกดี หยิบมือถือ แตะปุ่มโฮมอันล๊อกเลย นี่หยิบมา ส่องหน้ามองกล้อง ยังไม่เข้าหน้าโฮมแค่ปลดล๊อก ถ้าจะเข้าต้องสไลด์อีก
ป.ล. ไม่ใช่ว่าอันนี้ก็ fake อีกนะ หมายถึงทำหุ่นจำลองหน้าแล้วกดรหัสผ่านจนมันจำหน้าหุ่นจำลองได้อ่ะ...
มีคนออกมาแย้งว่ามันสะดวกกว่าในกรณีเป็นพวกหยิบโทรศัพท์เวลาการแจ้งเตือนเข้าครับ หยิบมาอ่าน noti แล้วเลือกอันที่จะดูได้เลย ซึ่งมันก็เป็น use case นึงที่มันทำได้ดีจริงๆ นะครับ
เสริมคุณ hisoft อีกนิดครับ เท่าที่ตามอ่านรีวิว (และ YouTube ฝรั่ง) ที่ผ่านการใช้งาน iPhone X มาเป็นอาทิตย์แล้ว
เขาบอกว่าการใช้งานปกติ พอยกจอขึ้นก็ swipe เข้าเครื่องได้เลย (Face ID มันเร็วขนาดนั้นเลย ไม่ต้องรอไอคอนปลดล็อกแสดงก่อน) แต่ถ้าใครจะดูแค่ noti ก็ยกขึ้นมาอ่านได้ไม่ต้อง swipe เข้าเครื่องครับ
มันไม่ยิงอินฟาเรดไปที่ดวงตาเพื่อเช็คเหรือครับ
อย่างลายนิ้วมือ ยังต้องใช้หมึกพิเศษในการพิมพ์เลย
เกม Hitman ภาคล่าสุด มีภารกิจที่ต้องใช้ใบหน้าที่พิมพ์จากเครื่องพิมพ์สามมิติ เพื่อปลดล็อกประตูด้วย
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
ลายนิ้วมือต้องใช้หมึกพิเศษเพราะเซ็นเซอร์ที่โทรศัพท์ใช้เป็นแบบตรวจการนำไฟฟ้าครับ ไม่ต้องใช้หมึกพิเศษเสมอไป
lewcpe.com, @wasonliw
ผมว่ามันทำได้ยากนะ อย่างน้อยๆ 2 กรณีที่จะปลดล๊อคแบบเจ้าของไม่อยู่ คือ 1. ปั้นหล่อหน้าทั้งหน้าด้วยวัสดุโพลีเมอร์ เช่น ปูนปลาสเตอร์ 2. พิมพ์ด้วยเครื่องพิมพ์ 3 มิติ แต่ทั้ง 2 กรณีต้องทำการสแกนความลึกตื้น 3 มิติของใบหน้าโดยที่เจ้าของหน้าอาจจะไม่อนุญาต จะใช้รูปถ่ายหลายๆ มุมหรือวิดีโอก็ไม่ใช่ว่าง่าย ยกเว้นใช้ AI วิเคราะห์ อย่างไรก็ตามการโคลนลายนิ้วมือแบบข่าวเก่าๆ ผมว่ายังง่ายกว่าอีก ไม่ต้องใช้ AI ด้วย ถ้ามองในแง่นี้จะบอกว่าความปลอดภัยของ Face ID ต่ำกว่า Touch ID ไม่ได้เลย
ใน video เค้าบอกชัดเจนครับ ว่ามันไม่ได้ทำง่าย แต่ก็ไม่ได้ยากจนเป็นไปไม่ได้
ขั้นตอนใช้เวลาทำหลายวัน
สุดท้ายขึ้นอยู่กับว่า ผลลัพธ์การหลอกจะได้อะไรกลับมา คุ้มเสียเวลาไหม
อย่าง คนธรรมดาๆ ก็คงไม่น่ากังวล
แต่ถ้าเป็นเซเลบ ดารา นักการเมือง พวกผู้บริหารบริษัทต่างๆ ก็คงคุ้ม
ถ้าเป็น Mystique ไม่ต้องเสียซักบาท
ประวลผล => ประมวลผล
ดูคลิปต้นทางคอมเม้น Fake เยอะมาก แล้วตัวไอคอนแม่กุญแจยังไม่ทันปลดล็อค ก็สไลด์เปิดได้แล้ว ดูแปลกกว่าปกติที่คนอื่นรีวิวไว้
ถ้ายังไงดูคลิปนี้จะมีประโยชน์กว่า ขนาดคุณเป็นซอมบี้ ไอโฟนก็ยังจำคุณได้ ต้องดูให้จบแล้วจะรู้ว่า AI ดีเกิ้น
Zombie vs iPhone X Face ID
https://www.youtube.com/watch?v=ltY5R0PNctQ
ปล.ถ้าเอาเบ้าหน้ากับไอโฟนไปได้จริงๆ gu ยอมเลย
แต่ก็คงขายดีถล่มถลายเช่นเดิม
แบรนด์รอยัลลิตี้ช่างแข็งนัก
proof ว่า 3D Printer หลอกได้
คราวนี้ก็ต้องวิจัย วิธีลอกแบบ model3D หน้าให้ได้จากระยะไกลโดยเจ้าตัวไม่รู้ เช่น
-ยิง infrared ระยะไกล
-เอาภาพวีดีโอซูมไกลหลายๆมุม แล้วไป process จนได้
-แบบดื้อๆก็ปลอมตัวเป็นกระจกส่องหน้าในห้องน้ำ :p
หรืออะไรก็ว่ากันไป
มีคลิปที่คนเกาหลีนอนหลับแล้วเพื่อนเอามือถือปลดล๊อคโดยสแกนหน้าตอนนอนได้แล้วครับ เหตุเพราะเขาตาตี่มาก จนแม้แต่ตอนนอนระบบก็คิดว่าเขาลืมตาอยู่ แอปเปิ้ลเลยออกมาบอกว่าถ้าคุณจะนอนก็กดโฮม 5 ทีให้บังคับใส่รหัสผ่าน
กรรมของอาตี๋
พี่ที่รู้จักคนหนึ่ง ใช้เรติน่าสแกนของซัมซุงไม่ได้ เพราะตาตี่นี่แหละ
อ่านเมนต์นี้ ขำก๊ากเลยครับ
ปล. ผมก็ตาตี่นะ 55
สงสัยต้องทำ unlock ซ้อนๆกันหลายๆชั้น
ผมขอแค่ finger scan ผสมกับ pin 6 หลัก ก็น่าจะพอละ
มันไม่มีวิธีตรวจสอบความมีชีวิตเหรอครับ แบบถ้าจะเอาหน้า ก็ต้องตัดหัวมาไหม่ๆ เท่านั้น
ผมยังนึกว่ามันจะเทียบสีจากกล้องธรรมดากับกล้องอินฟราเรดว่าวัสดุมันใช่มั้ย แต่อย่างว่าครับ วิธีนี้เจอเครื่องสำอางก็ไม่รอดแล้ว
มันเร็วไป แบบผิดปกติจริง ๆ เพราะใช้อยู่มันไม่ได้เร็วขนาดนั้น แม้จะเอานิ้วจ่อเตรียมปัดขึ้น อย่างน้อย ถ้าสแกนปุ๊บ พร้อมปัดขึ้น จะมีแอนิเมชั่นแม่กุญแจปลดล็อกก่อน ไม่ก็ตรงกุญแจหมุนเป็นวง ๆ ก่อน (เหมือนตอนจ่ายเงิน หรือ fill password) แล้วพื้นหลังจะเบลอ ยกเว้นแม่กุญแจจะปลดล็อกก่อนปัดขึ้นนั่นแหละ ซึ่ง มันก็ไม่เร็วขนาดนั้น เพราะดูเหมือนจะเอาจ่อแป๊บเดียวเอง
ตอนใช้ลายนิ้วมือ ก็มีคนแห่ออกมาทดลองแบบนี้แหล่ะ ปลอมลายนิ้วมือกันสารพัด แล้วกระแสก็เงียบไป
ก็รับรู้ข้อจำกัด ถ้าพิจารณาแล้วว่าดีพอ ก็ใช้งานต่อไป ปกติครับ
โลกมันไม่ได้ขีดว่าอะไรปลอดภัยหรือไม่ปลอดภัย แต่มันปลอดภัยพอหรือไม่ อย่างกรณีนี้มีข้อจำกัด บางองค์กร (เช่นธนาคาร) ฝ่ายไอทีก็อาจจะต้องพิจารณานโยบายว่าเครื่องของผู้ที่มีสิทธิสูงๆ ต้องบังคับใช้รหัสผ่านเท่านั้นหรือไม่
อย่างลายนิ้วมือเอง พวกงานระดับองค์กรก็มีไม่น้อยที่เวลาเข้าถึงข้อมูลเฉพาะต้องใส่ PIN อีกรอบ
lewcpe.com, @wasonliw
จริงๆ ก็แค่ท้าทายคำว่าปลอดภัยมากที่แอปเปิลคุยนั่นแหละครับ
คือจะมีของใหม่ก็ได้นะ แต่ช่วยเอาของเก่าไว้ให้ใช้หน่อยได้ไหม แอปเปิ้ลชอบหักดิบตลอด ไม่ชอบเลย
เห็นหัวข่าวนี่ นึกถึง Sony ก่อนเลยจริงๆ
ถ้าสมมติเป็นคนดัง
ลองเอามาถือคนนั้นมาแล้วเข้าไปในพิพิธภัณฑ์หุ่นมาดามทุสโซ่ แล้วลองแสกนดู จะเป็นไปได้ไหม
จริงแฮะ อันนี้น่าสนใจมาก ๆ
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
นึกถึงหุ่นขี้ผึ้งเลย